Überwachung des Zertifikatsstatus mit OCSP
Online Certificate Status Protocol (OCSP) ist ein Internetprotokoll, das verwendet wird, um den Status eines Client-SSL-Zertifikats zu ermitteln. Citrix Gateway unterstützt OCSP wie in RFC 2560 definiert. OCSP bietet erhebliche Vorteile gegenüber Zertifikatsperrlisten (CRLs) in Bezug auf zeitnahe Informationen. Der aktuelle Widerrufsstatus eines Kundenzertifikats ist besonders nützlich bei Transaktionen mit hohen Geldsummen und hochwertigen Aktiengeschäften. Es verbraucht auch weniger System- und Netzwerkressourcen. Die Citrix Gateway-Implementierung von OCSP umfasst Anforderungs-Batching und Antwort-Caching.
Citrix Gateway-Implementierung von OCSP
Die OCSP-Validierung auf einer Citrix Gateway-Appliance beginnt, wenn Citrix Gateway während eines SSL-Handshakes ein Client-Zertifikat erhält. Um das Zertifikat zu validieren, erstellt Citrix Gateway eine OCSP-Anforderung und leitet sie an den OCSP-Responder weiter. Dazu extrahiert Citrix Gateway entweder die URL für den OCSP-Responder aus dem Clientzertifikat oder verwendet eine lokal konfigurierte URL. Die Transaktion befindet sich in einem angehaltenen Zustand, bis Citrix Gateway die Antwort des Servers auswertet und feststellt, ob die Transaktion zugelassen oder abgelehnt werden soll. Wenn sich die Antwort des Servers über die konfigurierte Zeit hinaus verzögert und keine anderen Responder konfiguriert sind, lässt Citrix Gateway die Transaktion zu oder zeigt einen Fehler an, je nachdem, ob Sie die OCSP-Prüfung auf optional oder obligatorisch festlegen. Citrix Gateway unterstützt das Stapeln von OCSP-Anfragen und das Zwischenspeichern von OCSP-Antworten, um die Belastung des OCSP-Responders zu reduzieren und schnellere Antworten zu ermöglichen.
OCSP-Anforderungs-Batching
Jedes Mal, wenn Citrix Gateway ein Clientzertifikat erhält, sendet es eine Anfrage an den OCSP-Responder. Um eine Überlastung des OCSP-Responders zu vermeiden, kann Citrix Gateway den Status von mehr als einem Clientzertifikat in derselben Anforderung abfragen. Damit das Anforderungsbatching effizient funktioniert, müssen Sie ein Timeout definieren, damit die Verarbeitung eines einzelnen Zertifikats nicht verzögert wird, während Sie auf die Bildung eines Stapels warten.
OCSP-Antwort-Caching
Das Zwischenspeichern der vom OCSP-Responder empfangenen Antworten ermöglicht schnellere Antworten auf den Benutzer und reduziert die Belastung des OCSP-Responders. Nach Erhalt des Sperrstatus eines Clientzertifikats vom OCSP-Responder speichert Citrix Gateway die Antwort lokal für eine vordefinierte Zeitspanne. Wenn ein Clientzertifikat während eines SSL-Handshakes empfangen wird, überprüft Citrix Gateway zunächst seinen lokalen Cache auf einen Eintrag für dieses Zertifikat. Wenn ein Eintrag gefunden wird, der noch gültig ist (innerhalb des Cache-Timeout-Limits), wird der Eintrag ausgewertet und das Clientzertifikat wird akzeptiert oder abgelehnt. Wenn ein Zertifikat nicht gefunden wird, sendet Citrix Gateway eine Anforderung an den OCSP-Responder und speichert die Antwort für eine konfigurierte Zeitspanne in seinem lokalen Cache.