Configuration de l’état du certificat OCSP

La configuration du protocole OCSP (Online Certificate Status Protocol) implique l’ajout d’un répondeur OCSP, la liaison du répondeur OCSP à un certificat signé à partir d’une autorité de certification (CA) et la liaison du certificat et de la clé privée à un serveur virtuel SSL (Secure Sockets Layer). Si vous devez lier un certificat et une clé privée différents à un répondeur OCSP que vous avez déjà configuré, vous devez d’abord délier le répondeur, puis lier le répondeur à un autre certificat.

Pour configurer OCSP

  1. Sous l’onglet Configuration, dans le volet de navigation, développez SSL, puis cliquez sur Répondeur OCSP.

  2. Dans le volet d’informations, cliquez sur Ajouter.

  3. Dans Nom, tapez un nom pour le profil.

  4. Dans URL, tapez l’adresse Web du répondeur OCSP.

    Ce champ est obligatoire. L’adresse Web ne peut pas dépasser 32 caractères.

  5. Pour cacher les réponses OCSP, cliquez sur Cache et dans Délai d’expiration, tapez le nombre de minutes pendant lesquelles Citrix Gateway contient la réponse.

  6. Sous Request Batching, cliquez sur Activer.

  7. Dans Retard de mise en lots, spécifiez le temps, en millisecondes, autorisé pour le traitement par lots d’un groupe de demandes OCSP.

    Les valeurs peuvent être comprises entre 0 et 10000. La valeur par défaut est 1.

  8. Dans la zone Produit à l’heure, tapez le temps que Citrix Gateway peut utiliser lorsque l’appliance doit vérifier ou accepter la réponse.

  9. Sous Vérification des réponses, sélectionnez Réponses d’approbation si vous souhaitez désactiver les vérifications de signature par le répondeur OCSP.

    Si vous activez les réponses de confiance, ignorez les étapes 8 et 9.

  10. Dans Certificat, sélectionnez le certificat utilisé pour signer les réponses OCSP.

    Si aucun certificat n’est sélectionné, l’autorité de certification à laquelle le répondeur OCSP est lié est utilisée pour vérifier les réponses.

  11. Dans Délai d’expiration de la demande, tapez le nombre de millisecondes à attendre une réponse OCSP.

    Cette durée inclut le délai de traitement par lots. Les valeurs peuvent être comprises entre 0 et 120000. La valeur par défaut est 2000.

  12. Dans Signature de certificat, sélectionnez le certificat et la clé privée utilisés pour signer des demandes OCSP. Si vous ne spécifiez pas de certificat et de clé privée, les demandes ne sont pas signées.

  13. Pour activer l’extension de numéro utilisé une fois (nonce), sélectionnez Nonce.

  14. Pour utiliser un certificat client, cliquez sur Insertion de certificat client.

  15. Cliquez sur Créer, puis sur Fermer.

Configuration de l’état du certificat OCSP