OCSP 配合 Dell SonicWALL 网络安全设备使用

OCSP 设计用于扩充或替换公钥基础设施 (PKI) 或数字证书系统中的 CRL。CRL 用于验证 PKI 组成的数字证书。这样,证书机构 (CA) 就可以在计划到期日期前吊销证书,防止被盗或无效证书影响 PKI 系统。

证书吊销列表的主要缺点是需要频繁更新以使每个客户端的 CRL 保持最新状态。如果每个客户端都要下载完整的 CRL,这种频繁更新将大大增加网络流量。根据 CRL 更新频率,可能存在这样一个时间段:一个证书已被 CRL 吊销,但客户端尚未收到更新,因而继续允许使用该证书。

在线证书状态协议可确定数字证书的当前状态,无需使用 CRL。通过 OCSP,客户端或应用程序可直接确定特定数字证书的状态。因此,它能提供比 CRL 更及时的证书状态信息。此外,客户端通常只需检查几个证书,不需要为少数几个证书而下载全部 CRL,从而节省开销。这可以大大降低与证书验证相关的网络流量。

OCSP 通过 HTTP 传输消息,以便最大程度地兼容现有网络。这需要仔细配置网络上的任何缓存服务器,避免收到可能过期的 OCSP 响应缓存副本。

OCSP 客户端与 OCSP 响应者通信。OCSP 响应者可以是用来确定证书状态的 CA 服务器,或是与该 CA 服务器通信的其他服务器。OCSP 客户端向 OCSP 响应者发送状态请求,并暂停接受证书,直到响应者提供响应为止。客户端请求包括协议版本、服务请求、目标证书身份和可选扩展项等数据。可选扩展项不一定能获得 OCSP 响应者的应答。

OCSP 响应者接收客户端的请求,检查该消息的形式是否妥当,以及响应者是否能响应该服务请求。然后,它检查该请求是否包含期望服务所需的信息。如果所有条件均满足,响应者就会向 OCSP 客户端返回一个确切的响应。OCSP 响应者需要提供一个基本响应:GOOD(正常)、REVOKED(已吊销)或 UNKNOWN(未知)。如果 OCSP 客户端和响应者均支持可选的扩展项,那么也可能提供其他响应。GOOD 状态是期望的响应,因为它表示证书未被吊销。REVOKED 状态表示证书已被吊销。UNKNOWN 状态表示响应者没有关于该证书的信息。

OCSP 服务器通常以推 (push) 或拉 (pull) 方式与 CA 服务器合作。CA 服务器可配置为向 OCSP 服务器推送 CRL 列表(吊销列表)。此外,OCSP 服务器可配置为定期从 CA 服务器下载(拉) CRL。OCSP 服务器还必须配置 CA 服务器颁发的 OCSP 响应签名证书。该签名证书必须有适当的形式,否则 OCSP 客户端将不接受来自 OSCP 服务器的响应。

OpenCA OCSP 响应者

使用 OCSP 要求将 OpenCA(开源证书机构)OCSP Responder 作为其唯一支持的 OCSP 响应者。OpenCA OCSP Responder 的网址是:http://www.openca.org。OpenCA OCSP Responder 是 rfc2560 兼容 OCSP 响应者,运行于默认端口 2560(以向 rfc2560 致敬)。

加载证书以使用 OCSP

为使 SonicOS 用作 OCSP 响应者的客户端,必须将 CA 证书加载到防火墙。

1
系统 -> 证书页面,单击“导入”按钮。随即显示“导入证书”页面。
2
选中从 PKCS#7 (.p7b)、PEM (.pem) 或 DER (.der 或 .cer) 编码文件导入 CA 证书选项,指定证书的位置。

OCSP 配合 VPN 策略使用

防火墙 OCSP 设置既可以在策略级别上配置,也可以全局配置。要针对单个 VPN 策略配置 OCSP 检查,请使用 VPN 策略配置页面的高级选项卡。

1
选择启用 OCSP 检查旁边的单选按钮。
2
指定 OCSP 服务器的 OCSP 响应者 URL,例如 http://192.168.168.220:2560,其中 192.168.168.220 是 OCSP 服务器的 IP 地址,2560 是 OpenCA OCSP 响应者服务的默认工作端口。