【x.509因特网公钥基础设施在线证书状态协议——OCSP】本备忘录的状态
本文档讲述了一种Internet社区的Internet标准跟踪协议,它需要进一步进行讨论和建
议以得到改进 。请参考最新版的“Internet正式协议标准”(STD1)来获得本协议的标准化
程度和状态 。本备忘录的发布不受任何限制 。
版权声明
Copyright(C)TheInternetSociety(1999).AllRightsReserved.
1. 摘要
本文档描述了无需证书撤消列表就可以决定一张数字证书当前状态的协议 。附加描述
PKIX操作必要条件的机制在另外的文档中有具体说明 。
第二章中有协议的概述 。功能必要条件在第三章中有具体描述 。第四章是具体协议 。第
五章我们将讨论一些和协议有关的安全问题 。附录A定义了在HTTP之上的OCSP,附
录B有ASN.1的语义元素,附录C具体描述了信息的mime类型 。
本文档中的要害字"MUST","MUSTNOT","REQUIRED","SHALL","SHALLNOT",
"SHOULD","SHOULDNOT","RECOMMENDED","MAY",and"OPTIONAL"同
RFC2119中的叙述一样 。
2. 协议概述
作为检查定期证书撤消列表的补充,有些场合下必须要获得一些有关证书撤消状态的即
时信息 。(RFC2459章节3.3)例如涉及大量资金的交易或者股票买卖 。
在线证书状态协议(OCSP)使得应用程序可以测定所需要检验证书的(撤消)状态 。
OCSP 。一个OCSP客户端发布一个状态查询给一个OCSP响应器并且侦听当前证书直到
响应器提供了一个响应 。
这个协议描述了在应用程序检查证书状态和服务器提供状态之间所需要交换的数据 。
2.1请求
一个OCSP请求包含以下数据
——协议版本
——服务请求
——目标证书标识
——可能被OCSP响应器处理的可选扩展
在接受一个请求之后,一个OCSP响应器检测是否:
1. 信息正确格式化
2. 响应器被配置提供请求服务而且
3. 请求包含了响应器需要的信息,假如任何一个先决条件没有满足,那么OCSP响应器将
产生一个错误信息;否则的话,返回一个确定的回复 。
2.2回复
OCSP回复可以有几种类型 。一个OCSP回复由回复类型和实际回复字节组成 。有一种
OCSP基本回复类型必须被所有的OCSP服务器和客户端支持 。本章的其余部分都仅适用于
这个回复类型 。
所有确定的回复都应被数字签名 。被用来签名回复信息的密钥必须是下列中的一个
——颁发所涉及证书的CA
——一个被信任的响应器,它的公钥被请求者信任
——一个CA指派的响应器(被授权的响应器),它具有一张由CA直接颁发的用来表示此
响应器可以为本CA发布OCSP回复的非凡标记证书 。
一个确定的回复信息由以下组成:
——回复语法的版本
——响应器名称
——对每一张被提及证书的回复
——可选扩展
——签名算法对象标识符号
——对回复信息散列后的签名
对每一张被请求证书的回复包括
——目标证书识别
——证书状态值
——回复有效期
——可选扩展
这个说明定义了以下在证书状态值中使用的一些确定回复识别:
——良好
——已撤消
——未知
“良好”状态表示一个对状态查询的积极回复 。至少,这个积极回复表示这张证书没有
被撤消,但是不一定意味着这张证书曾经被颁发过或者产生这个回复在证书有效期内 。回复
扩展可以被用来传输一些附加信息,响应器由此可以对这张证书的状态做出一些积极的声
明,诸如(已颁发)保证,有效期等等 。
推荐阅读
- X.509证书请求消息格式
- 因特网延迟交谈:体系结构
- Ipv6 针对因特网协议第六版的
- 因特网交换密钥
- 因特网子网
- IMAP & IMAP4:因特网信息访问协议
- IP电话综述
- Linux使用ssh公钥实现免密码登录实例 linux配置公钥登陆ssh
- 因特网域名长度不能超过多长 因特网域名长度不能超过
- 把公钥基础设施称为( A三角信任模型 把公钥基础设施称为