Überwachen des Zertifikatstatus mit OCSP
Online Certificate Status Protocol (OCSP) ist ein Internetprotokoll, das verwendet wird, um den Status eines Client-SSL-Zertifikats zu bestimmen. Citrix Gateway unterstützt OCSP gemäß RFC 2560. OCSP bietet erhebliche Vorteile gegenüber Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) in Bezug auf zeitnahe Informationen. Der aktuelle Widerrufsstatus eines Kundenzertifikats ist besonders bei Transaktionen mit großen Geldsummen und wertvollen Aktiengeschäften nützlich. Außerdem werden weniger System- und Netzwerkressourcen benötigt. Die Citrix Gateway-Implementierung von OCSP umfasst Anforderungsbatching und Antwort-Caching.
Citrix Gateway-Implementierung von OCSP
Die OCSP-Validierung auf einer Citrix Gateway-Appliance beginnt, wenn Citrix Gateway während eines SSL-Handshake ein Clientzertifikat erhält. Um das Zertifikat zu überprüfen, erstellt Citrix Gateway eine OCSP-Anforderung und leitet sie an den OCSP-Responder weiter. Dazu extrahiert Citrix Gateway entweder die URL für den OCSP-Responder aus dem Clientzertifikat oder verwendet eine lokal konfigurierte URL. Die Transaktion befindet sich in einem angehaltenen Zustand, bis Citrix Gateway die Antwort vom Server auswertet und bestimmt, ob die Transaktion zugelassen oder abgelehnt werden soll. Wenn die Antwort vom Server über die konfigurierte Zeit hinaus verzögert wird und keine anderen Responder konfiguriert sind, erlaubt Citrix Gateway die Transaktion oder zeigt einen Fehler an, je nachdem, ob Sie die OCSP-Prüfung auf optional oder obligatorisch festgelegt haben. Citrix Gateway unterstützt Batching von OCSP-Anforderungen und Caching von OCSP-Antworten, um die Belastung des OCSP-Responders zu reduzieren und schnellere Antworten bereitzustellen.
OCSP-Anforderungsbatching
Jedes Mal, wenn Citrix Gateway ein Clientzertifikat empfängt, sendet es eine Anforderung an den OCSP-Responder. Um eine Überlastung des OCSP-Responders zu vermeiden, kann Citrix Gateway den Status mehrerer Clientzertifikate in derselben Anforderung abfragen. Damit das Anforderungsbatching effizient funktioniert, müssen Sie ein Timeout definieren, damit die Verarbeitung eines einzelnen Zertifikats nicht verzögert wird, während Sie darauf warten, einen Stapel zu bilden.
OCSP-Antwort-Caching
Das Zwischenspeichern von Antworten, die vom OCSP-Responder empfangen werden, ermöglicht schnellere Reaktionen auf den Benutzer und reduziert die Belastung des OCSP-Responders. Nach Erhalt des Sperrstatus eines Clientzertifikats vom OCSP-Responder speichert Citrix Gateway die Antwort lokal für einen vordefinierten Zeitraum. Wenn während eines SSL-Handshake ein Clientzertifikat empfangen wird, überprüft Citrix Gateway zunächst seinen lokalen Cache auf einen Eintrag für dieses Zertifikat. Wenn ein Eintrag gefunden wird, der noch gültig ist (innerhalb des Cache-Timeoutlimits), wird der Eintrag ausgewertet und das Clientzertifikat wird akzeptiert oder abgelehnt. Wenn kein Zertifikat gefunden wird, sendet Citrix Gateway eine Anforderung an den OCSP-Responder und speichert die Antwort für einen konfigurierten Zeitraum im lokalen Cache.