使用 OCSP 监控证书状态

联机证书状态协议 (OCSP) 是一种 Internet 协议,用于确定客户端 SSL 证书的状态。思杰网关支持 RFC 2560 中定义的 OCSP。OCSP 在及时信息方面比证书吊销列表 (CRL) 具有显著优势。客户证书的最新撤销状态在涉及大笔资金和高价值股票交易的交易中尤其有用。它还使用较少的系统和网络资源。OCSP 的 Citrix 网关实现包括请求批处理和响应缓存。

思杰网关实现的 OCSP

Citrix 网关在 SSL 握手期间收到客户端证书时开始对 Citrix 网关设备进行 OCSP 验证。要验证证书,Citrix 网关创建 OCSP 请求并将其转发给 OCSP 响应程序。为此,Citrix Gateway 可以从客户端证书中提取 OCSP 响应程序的 URL,或使用本地配置的 URL。事务处于挂起状态,直到 Citrix Gateway 评估来自服务器的响应并确定是允许还是拒绝事务。如果来自服务器的响应延迟超过配置的时间,并且未配置其他响应程序,Citrix Gateway 将允许事务或显示错误,具体取决于您将 OCSP 检查设置为可选还是强制。Citrix Gateway 支持 OCSP 请求的批处理和 OCSP 响应的缓存,以减少 OCSP 响应程序的负载并提供更快的响应。

OCSP 请求批处理

Citrix 网关每次收到客户端证书时,都会向 OCSP 响应者发送请求。为了帮助避免 OCSP 响应程序过载,Citrix Gateway 可以在同一请求中查询多个客户端证书的状态。为了使请求批处理有效工作,您需要定义超时,以便在等待形成批处理时不会延迟对单个证书的处理。

OCSP 响应缓存

缓存从 OCSP 响应程序收到的响应可以更快地响应用户,并减少 OCSP 响应程序的负载。从 OCSP 响应程序收到客户端证书的吊销状态后,Citrix Gateway 将响应缓存在预定义的时间长度。在 SSL 握手期间收到客户端证书时,Citrix Gateway 首先检查其本地缓存是否有此证书的条目。如果发现仍然有效的条目(在缓存超时限制内),则会对该条目进行评估,并接受或拒绝客户端证书。如果未找到证书,Citrix Gateway 将向 OCSP 响应程序发送请求,并将响应存储在其本地缓存中配置的时间长度。

使用 OCSP 监控证书状态