Gateway

使用 OCSP 监视证书状态

February 1, 2024

投稿者:

联机证书状态协议 (OCSP) 是一种 Internet 协议，用于确定客户端 SSL 证书的状态。Citrix Gateway 支持 RFC 2560 中定义的 OCSP。与证书吊销列表 (CRL) 相比，OCSP 在及时信息方面具有显著优势。客户证书的最新吊销状态在涉及大量资金和高值股票交易的交易中特别有用。它还使用更少的系统和网络资源。OCSP 的 Citrix Gateway 实施包括请求批处理和响应缓存。

OCSP 的 Citrix Gateway 实施

Citrix Gateway 设备上的 OCSP 验证从 Citrix Gateway 在 SSL 握手期间收到客户证书时开始。为了验证证书，Citrix Gateway 会创建一个 OCSP 请求并将其转发给 OCSP 响应者。为此，Citrix Gateway 要么从客户端证书中提取 OCSP 响应程序的 URL，要么使用本地配置的 URL。在 Citrix Gateway 评估来自服务器的响应并确定是允许还是拒绝事务之前，事务处于挂起状态。如果来自服务器的响应延迟到配置的时间之后，并且没有配置其他响应程序，Citrix Gateway 将允许该事务或显示错误，具体取决于您将 OCSP 检查设置为可选还是强制。Citrix Gateway 支持批处理 OCSP 请求和缓存 OCSP 响应，以减少 OCSP 响应程序的负载并提供更快的响应。

OCSP 请求批处理

每次 Citrix Gateway 收到客户端证书时，都会向 OCSP 响应程序发送请求。为了避免 OCSP 响应程序过载，Citrix Gateway 可以在同一请求中查询多个客户端证书的状态。为了使请求批处理有效地工作，您需要定义一个超时时间，以便在等待形成批处理时不会延迟处理单个证书。

OCSP 响应缓存

缓存从 OCSP 响应程序收到的响应可以更快地响应用户，并减少 OCSP 响应程序的负载。从 OCSP 响应程序收到客户端证书的吊销状态后，Citrix Gateway 会在本地缓存预定义的时间长度内的响应。在 SSL 握手期间收到客户端证书时，Citrix Gateway 首先检查其本地缓存中是否有此证书的条目。如果找到仍然有效的条目（在缓存超时限内），则会对该条目进行评估，然后接受或拒绝客户端证书。如果找不到证书，Citrix Gateway 会向 OCSP 响应程序发送请求，并在配置的时间长度内将响应存储在其本地缓存中。

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

使用 OCSP 监视证书状态

February 1, 2024

投稿者:

February 1, 2024

投稿者: