标记由刚才的对象标识确定）组成 。
ResponseBytes::=SEQUENCE{
responseTypeOBJECTIDENTIFIER,
responseOCTETSTRING}
对于基本的OCSP回复，回复类型是id-pkix-ocsp-basic 。
id-pkix-ocspOBJECTIDENTIFIER::={id-ad-ocsp}
id-pkix-ocsp-basicOBJECTIDENTIFIER::={id-pkix-ocsp1}
OCSP响应器应该有能力产生id-pkix-ocsp-basic回复类型的回复 。同样的，OCSP客户
端也应该有能力接受并且处理id-pkix-ocsp-basic类型的回复 。
回复的值应该是基本OCSP回复（BasicOCSPResponse）的DER编码 。
BasicOCSPResponse::=SEQUENCE{
tbsResponseDataResponseData,
signatureAlgorithmAlgorithmIdentifier,
signatureBITSTRING,
certs[0]EXPLICITSEQUENCEOFCertificateOPTIONAL}
签名值应该对回复数据（ResponseData）的DER编码上的散列计算而得 。
ResponseData::=SEQUENCE{
version[0]EXPLICITVersionDEFAULTv1,
responderIDResponderID,
producedAtGeneralizedTime,
responsesSEQUENCEOFSingleResponse,
responseExtensions[1]EXPLICITExtensionsOPTIONAL}
ResponderID::=CHOICE{
byName[1]Name,
byKey[2]KeyHash}
KeyHash::=OCTETSTRING--SHA-1hashofresponder"spublickey
(不包括标签和长度域)
SingleResponse::=SEQUENCE{
certIDCertID,
certStatusCertStatus,
thisUpdateGeneralizedTime,
nextUpdate[0]EXPLICITGeneralizedTimeOPTIONAL,
singleExtensions[1]EXPLICITExtensionsOPTIONAL}
CertStatus::=CHOICE{
good[0]IMPLICITNULL,
revoked[1]IMPLICITRevokedInfo,
unknown[2]IMPLICITUnknownInfo}
RevokedInfo::=SEQUENCE{
revocationTimeGeneralizedTime,
revocationReason[0]EXPLICITCRLReasonOPTIONAL}
UnknownInfo::=NULL——这个可以被一个列举代替 。
4.2.2 OCSP回复的注重点
4.2.2.1 时间
此次更新和下次更新域定义了一个推荐的有效期 。一个时间长度和证书撤消列表中的
{此次更新，下次更新}时间长度相一致 。假如下次更新的值早于当前本地系统时间，那么这
个回复将被认为不可靠 。假如此次更新的值晚于当前本地系统时间，那么这个回复也将被认
为不可靠 。回复中没有设置下次更新值等价于CRL没有确定的下次更新时间（见章节2.4）
产生时间是这个回复被签名的时间 。
4.2.2.2 被授权的响应器
用来签名证书状态信息的密钥可以和签名证书状态的密钥不同 。但是必须保证签名这个
信息的实体已被授权 。所以证书发布者必须自己签名OCSP回复或者明确的指派这个权利给
其他实体 。OCSP签名代表可以通过包含在OCSP回复签名者证书扩展密钥用途扩展中的
id-kp-OCSPSigning来指派 。这张证书必须直接由颁布所涉及证书的CA发布 。
id-kp-OCSPSigningOBJECTIDENTIFIER::={id-kp9}
依靠OCSP回复的系统和应用程序必须由能力探测并且执行id-ad-ocspSigning值的使
用，如前所述 。他们可以提供一种本地配置一个或更多个OCSP签名权威机构的方法，而且
可以指定一组被信任的签名权威机构 。当要求验证回复上签名的证书未满足以下一个标准
时，他们必须拒绝这样的回复：
1. 和本地配置的对所涉及证书的OCSP签名权威机构匹配；或者
2. 和颁发所涉及证书的CA相同；或者
3. 包括在扩展密钥用途扩展中的id-ad-ocspSigning值，这种证书由颁发所涉及证书的
CA颁发 。
回复本身或者用来验证回复上签名的证书可以应用其他接受或者拒绝的标准 。
4.2.2.2.1 已授权响应器的撤消检查
既然一个已授权的OCSP响应器可以为一个或多个CA提供状态信息服务，OCSP客户
端需要明白如何确定被授权的响应器的证书没有被撤消 。CAS可以选择以下三种方法之一

推荐阅读

• 

  女生发哼哼是什么意思？
• 

  掌中宝要炸多久才熟
• 

  蚯蚓能不能放冰箱里面储存食物 蚯蚓能不能放冰箱里面储存
• 

  钙片四大种类
• 

  一加7t中长截屏的操作教程
• 

  黑枸杞菊花泡水的注意事项 黑枸杞菊花泡水的注意事项有哪些
• 

  燕子窝怎么搭建的 燕子窝如何搭建的
• 

  缺氧气泵气压不稳定如何解决 缺氧气泵不工作解决方法 气泵不工作的原因
• 

  金鱼草一年开几次花 金鱼草一年开几次花
• 

  蘑菇汤的家常做法 蘑菇汤怎么做
• 

  什么是TPM？它包含哪几个方面的内容？
• 

  重视礼仪的国家是什么之邦
• 

  怎样把手机里的照片传到电脑
• 

  钓鱼最好的小药是什么，钓鱼小药哪种好诱攻王小药是真的吗
• 

  就是一场身不由己的旅行 一场完美的旅行结束语
• 

  柜体上如何安装开关 柜子装好怎么安装开关电源

• X.509证书请求消息格式
• 因特网延迟交谈：体系结构
• Ipv6 针对因特网协议第六版的
• 因特网交换密钥
• 因特网子网
• IMAP & IMAP4：因特网信息访问协议
• IP电话综述
• Linux使用ssh公钥实现免密码登录实例 linux配置公钥登陆ssh
• 因特网域名长度不能超过多长 因特网域名长度不能超过
• 把公钥基础设施称为( A三角信任模型 把公钥基础设施称为