本頁面由 Cloud Translation API 翻譯而成。

實作委派的 OCSP 回應器

本文提供線上憑證狀態通訊協定 (OCSP) 回應程式的相關資訊，您可以使用該程式檢查透過憑證授權單位服務核發的憑證撤銷狀態。如要進一步瞭解這項工具，請參閱「CA 服務的 OCSP 回應程式」。

什麼是線上憑證狀態通訊協定 (OCSP)？

OCSP 是一種通訊協定，用於取得 X.509 憑證的撤銷狀態。使用者要求驗證憑證有效性時，系統會將要求傳送至 OCSP 回應程式。OCSP 回應器會向受信任的憑證授權單位 (CA) 檢查憑證狀態，並傳回 OCSP 回應。

使用 OCSP 追蹤憑證撤銷狀態有許多優點。與可能相當龐大的憑證撤銷清單 (CRL) 相比，OCSP 的回應時間較短，對網路頻寬的需求也較小。

OCSP 回應器會預先產生特定 CA 發布的每張憑證的 OCSP 回應。預先生成的回答會以個別檔案的形式儲存在 Cloud Storage bucket 中。

您可以部署 Cloud Run 服務，依需求或按照時間表重新產生這些檔案。Cloud Run 服務基本上是 OCSP 伺服器的前端。

您可以使用 Cloud CDN 將要求轉送至 Cloud Run，並快取 OCSP 回應。詳情請參閱「使用 Cloud Run 設定 Cloud CDN」。

如需透過 CA 服務設定 OCSP 回應程式的操作說明，請參閱 README：CA 服務的 OCSP 回應程式。