“已撤消”状态表示证书已被撤消(无论是临时性的还是永久性的(待判定))
“未知”状态表示响应器不知道请求的证书 。
2.3例外情况
万一出错,OCSP响应器会返回一个出错信息 。
这些信息无须签名 。出错信息可以是以下一些类型
——未正确格式化的请求(malformedRequest)
——内部错误(internalError)
——请稍后再试(trylater)
——需要签名(sigRequired)
——未授权(unauthorized)
假如接受到一个没有遵循OCSP语法的请求,服务器产生“未正确格式化的请求”回复 。
回复“内部错误”表示OCSP响应器处于一个不协调的内部状态 。请求需要再试,暗示
尝试另一个响应器 。
假如OCSP响应器正在工作,但是不能返回被请求证书的状态,那么“稍后再试”回复
能被用来表示服务存在,但暂时不能响应 。
当服务器需要客户端签名请求后才能产生一个回复时,回复“需要签名”将被返回 。
当客户端未被授权答应向这台服务器发送请求时,回复“未授权”将被返回 。
2.4此次更新(thisUpdate),下次更新(nextUpdate)和产生时间(prodUCedAt)的语义
回复信息可以在其中包含三种时间——此次更新,下次更新和产生时间 。这些域的语义
如下:
——此次更新:此证书状态被表示为正确的时间
——下次更新:在此时间之后,可获得此证书状态的新近信息
——产生时间:OCSP签名这个回复的时间
假如响应器未设置下次更新,那意味着新近的撤消信息在任何时候都可以被获得 。
2.5回复预产生
OCSP响应器可以预先产生用来描述在某个确定时间此证书状态的已签名回复 。通过在
回复的此次更新域的反映,获得此状态的时间可以被正确熟悉 。下次新近信息则反映在下次
更新域中,与此同时产生这个回复的时间则出现在回复的产生时间域中 。
2.6 OCSP签名权威代表
用来签名证书状态信息的密钥不一定需要和签名此证书的密钥相同 。通过发布一张包含
有扩展密钥用途域唯一值的OCSP签名者证书证书发布者,可以明确的指派OCSP签名权威
机构 。这张证书必须直接由认知的CA颁发给响应器 。
2.7 当CA密钥不安全
假如一个OCSP响应器知道一个特定的CA私钥不安全,那么针对所有这个CA颁布的
证书都可以返回一个撤消状态 。
3 功能必要条件
3.1 证书内容
为了传达给OCSP客户端一个知道的信息获取点,CA们可以在权威机构信息获取扩展
(可以被检测用来使用OCSP)提供这样的能力 。作为另外一种选择,也可以在OCSP客户
端本地配置OCSP提供者获取地(信息) 。
支持OCSP服务的CA,无论是自身实现还是通过授权响应器来提供,都必须提供包括
统一资源识别形式的获取地信息和在一个获取描述序列中的对象识别符号形式的获取方法 。
在主体证书的获取地域中的值定义了使用什么传输(例如HTTP)来获取OCSP响应器
并且可以包含其他传输相关信息(例如URL) 。
3.2 已签名回复的接受条件
在接受一个已签名的回复为有效之前,OCSP客户端必须确认:
1. 在回复信息中所指的证书和相应请求中所指证书一致 。
2. 回复中的签名有效 。
3. 签名者的身份和相映应接受请求者匹配 。
4. 签名者正被授权签名回复 。
5. 表示状态被认为是正确的时间(此次更新)足够新 。
6. 假如有的话,下次更新的时间应该晚于现时时间 。
4. 具体协议
这个ASN.1语法引用了在RFC2459中定义的术语 。至于签名运算,被签名的数据使用
推荐阅读
- X.509证书请求消息格式
- 因特网延迟交谈:体系结构
- Ipv6 针对因特网协议第六版的
- 因特网交换密钥
- 因特网子网
- IMAP & IMAP4:因特网信息访问协议
- IP电话综述
- Linux使用ssh公钥实现免密码登录实例 linux配置公钥登陆ssh
- 因特网域名长度不能超过多长 因特网域名长度不能超过
- 把公钥基础设施称为( A三角信任模型 把公钥基础设施称为