Implementazione di un risponditore OCSP delegato

Questo documento fornisce informazioni sul rispondente OCSP (Online Certificate Status Protocol) che puoi utilizzare per controllare lo stato di revoca dei certificati emessi utilizzando Certificate Authority Service. Per saperne di più sullo strumento, consulta Risponditore OCSP per il servizio CA.

Che cos'è il protocollo OCSP (Online Certificate Status Protocol)?

OCSP è un protocollo per ottenere lo stato di revoca di un certificato X.509. Quando un utente richiede informazioni sulla validità di un certificato, viene inviata una richiesta a un rispondente OCSP. Il responder OCSP controlla lo stato del certificato con un'autorità di certificazione (CA) attendibile e restituisce una risposta OCSP.

Perché utilizzare un risponditore OCSP delegato?

Il monitoraggio dello stato di revoca del certificato utilizzando OCSP può avere molti vantaggi. Sono inclusi tempi di risposta più rapidi e un requisito inferiore per la larghezza di banda della rete rispetto agli elenchi di revoca dei certificati (CRL), che possono essere piuttosto grandi.

Come funziona il responder OCSP?

Il responder OCSP genera in anticipo una risposta OCSP per ogni certificato emesso da una determinata CA. Le risposte pregenerate vengono salvate come singoli file in un bucket Cloud Storage.

Puoi eseguire il deployment di un servizio Cloud Run che rigenera questi file su richiesta o in base a una pianificazione. Il servizio Cloud Run è essenzialmente il frontend per il server OCSP.

Puoi utilizzare Cloud CDN per inoltrare le richieste a Cloud Run e memorizzare nella cache le risposte OCSP. Per saperne di più, consulta Configurare Cloud CDN con Cloud Run.

Per istruzioni su come configurare un responsabile OCSP con il servizio CA, consulta il file README: OCSP responder for CA Service.