Implemente um serviço de resposta de OCSP delegado

Este documento fornece informações sobre o respondedor do protocolo de estado de certificado online (OCSP) que pode usar para verificar o estado de revogação dos certificados emitidos através do Certificate Authority Service. Para mais informações sobre a ferramenta, consulte o artigo OCSP responder for CA Service.

O que é o Protocolo de estado do certificado online (OCSP)?

O OCSP é um protocolo para obter o estado de revogação de um certificado X.509. Quando um utilizador pede informações sobre a validade de um certificado, é enviado um pedido a um respondedor OCSP. O respondedor OCSP verifica o estado do certificado junto de uma autoridade de certificação (AC) fidedigna e envia uma resposta OCSP.

Por que motivo deve usar um respondedor OCSP delegado?

O acompanhamento do estado de revogação de certificados através do OCSP pode ter muitas vantagens. Estas incluem um tempo de resposta mais rápido e um requisito menor para a largura de banda da rede, em comparação com as listas de revogação de certificados (LRCs), que podem ficar bastante grandes.

Como funciona o respondedor OCSP?

O respondedor OCSP pré-gera uma resposta OCSP para cada certificado que uma AC específica emite. As respostas pré-geradas são guardadas como ficheiros individuais num contentor do Cloud Storage.

Pode implementar um serviço do Cloud Run que regenere estes ficheiros a pedido ou de acordo com uma programação. O serviço Cloud Run é essencialmente o front-end para o servidor OCSP.

Pode usar o Cloud CDN para encaminhar pedidos para o Cloud Run e colocar em cache as respostas OCSP. Para mais informações, consulte o artigo Configurar o Cloud CDN com o Cloud Run.

Para obter instruções sobre a configuração de um respondedor OCSP com o serviço de AC, consulte o README: respondedor OCSP para o serviço de AC.