实现委派 OCSP 响应程序

本文档介绍了在线证书状态协议 (OCSP) 响应器，您可以使用该响应器检查使用 Certificate Authority Service 颁发的证书的吊销状态。如需详细了解该工具，请参阅CA 服务的 OCSP 响应器。

什么是在线证书状态协议 (OCSP)？

OCSP 是一种用于获取 X.509 证书吊销状态的协议。当用户请求有关证书有效性的信息时，系统会向 OCSP 响应方发送请求。OCSP 响应程序会向可信证书授权机构 (CA) 检查证书的状态，并发回 OCSP 响应。

为何使用委派 OCSP 响应程序？

使用 OCSP 跟踪证书吊销状态有诸多好处。与可能非常大的证书吊销列表 (CRL) 相比，这些优势包括响应时间更短，对网络带宽的要求更低。

OCSP 响应器如何运作？

OCSP 响应程序会为特定 CA 签发的每个证书预生成 OCSP 响应。预生成的回答会作为单独的文件保存在 Cloud Storage 存储桶中。

您可以部署一个 Cloud Run 服务，以按需或按计划重新生成这些文件。Cloud Run 服务本质上是 OCSP 服务器的前端。

您可以使用 Cloud CDN 将请求转发到 Cloud Run 并缓存 OCSP 响应。如需了解详情，请参阅使用 Cloud Run 设置 Cloud CDN。

如需了解如何使用 CA Service 配置 OCSP 响应器，请参阅 README：CA Service 的 OCSP 响应器。