来处理这个问题:
——一个CA可以指定OCSP客户端能够在响应器证书生存期内信任该响应器 。这个CA通
过(在证书中)包括id-pkix-ocsp-nocheck 。这个(扩展)应该是非重要扩展 。扩展的值可以
为空 。CA颁发这样这样一张证书应该意识到响应器密钥的不安全问题,这和用来签名证书
撤消列表的CA密钥的不安全问题同样严重,至少在证书有效期内是这样 。CA也可以选择
发布生命周期非常短的此类型证书并且频繁更新它 。
id-pkix-ocsp-nocheckOBJECTIDENTIFIER::={id-pkix-ocsp5}
——一个CA可以指定如何检查响应器的证书是否被撤消 。假如应该使用证书撤消列表或者
证书撤消列表发布点来检查,那么也能够使用证书撤消列表来完成确定响应器证书是否被撤
消,或者假如其他应该使用其他的方法那么权威机构信息获取 。指定这两种机制的细节可以
在RFC2459中获得 。
——一个CA可以选择不指定任何方法来检查响应器证书的有效性(是否被撤消),在这些
情况中,是由OCSP客户端的本地安全策略来决定证书是否检查证书有效性(是否被撤消) 。
4.3强制和可选的加密算法
那些请求OCSP服务的客户端应该有能力处理DSA密钥的签名,这些DSA密钥通过
RFC2459章节7.2.2中描述的DSAsig-alg-oid来识别 。客户端应该同样有能力处理在RFC2459
章节7.2.1描述的RSA签名 。OCSP响应器可应该支持SHA1散列算法 。
4.4 扩展
这一节定义了一些标准扩展,基于X.509版本3证书所使用的扩展模型(请见RFC2459) 。
支持所有这些扩展对客户端和响应器都是可选的 。对于每一个扩展,定义表示了它的语法,
由OCSP响应器实现处理过程,而且在相应的回复中包括任意扩展 。
4.4.1 随机数
随机数很秘密的绑定了请求和回复,用来防止重发(replayattacks)攻击 。随机数作为
一个请求扩展被包括在请求中,同样的也作为一个回复扩展被包括在回复中 。在请求和回复
中,随机数由对象标识id-pkix-ocsp-nonce识别,其中extnValue包含了随机数的值 。
id-pkix-ocsp-nonceOBJECTIDENTIFIER::={id-pkix-ocsp2}
4.4.2 证书撤消列表参考
也许想OCSP响应器指出可以发现已撤消或正保持证书的证书撤消列表 。当OCSP在仓
库之间使用而且作为一个审核机制时这个是很有用的 。这个证书撤消列表可以由一个同一资
源定位(URL)(证书撤消列表可以从这个URL中获得),或由一个序列号(证书撤消列表
序列号)或者由一个时间(相关证书撤消列表产生的时间)来指定 。这些扩展作为单一扩展
(singleExtensions)来描述 。这个扩展的标识是id-pkix-ocsp-crl,值是CrlID 。
id-pkix-ocsp-crlOBJECTIDENTIFIER::={id-pkix-ocsp3}
CrlID::=SEQUENCE{
crlUrl[0]EXPLICITIA5StringOPTIONAL,
crlNum[1]EXPLICITINTEGEROPTIONAL,
crlTime[2]EXPLICITGeneralizedTimeOPTIONAL}
假如选择使用证书撤消列表的同一资源定位,那么IA5字符串被用来定义这个可获得证书
撤消列表的同一资源定位(URL) 。假如是证书撤消列表序列号,那么用整数来描述相关证
书撤消列表的证书撤消列表序列号扩展 。假如是证书撤消列表时间,那么标准化时间被用来
表示这个相关证书撤消列表发布的时间 。
4.4.3可接受的回复类型
一个OCSP客户端可以希望指定一个它所理解的回复类型 。为了达到这样的目的,它应
该使用id-pkix-ocsp-response对象标识符的扩展,并且值为可接受回复
(AcceptableResponses) 。
这个扩展作为一个请求扩展被包括在请求中 。在可接受回复中包括了这个客户端可接受
推荐阅读
- X.509证书请求消息格式
- 因特网延迟交谈:体系结构
- Ipv6 针对因特网协议第六版的
- 因特网交换密钥
- 因特网子网
- IMAP & IMAP4:因特网信息访问协议
- IP电话综述
- Linux使用ssh公钥实现免密码登录实例 linux配置公钥登陆ssh
- 因特网域名长度不能超过多长 因特网域名长度不能超过
- 把公钥基础设施称为( A三角信任模型 把公钥基础设施称为