Gateway

使用 OCSP 监控证书状态

January 18, 2024

投稿者:

联机证书状态协议 (OCSP) 是一种 Internet 协议，用于确定客户端 SSL 证书的状态。Citrix Gateway 支持在 RFC 2560 中定义的 OCSP。OCSP 在及时信息方面比证书吊销列表 (CRL) 具有显著优势。客户证书的最新撤销状态在涉及大笔资金和高价值股票交易的交易中尤其有用。它还使用较少的系统和网络资源。OCSP 的 Citrix Gateway 实现包括请求批处理和响应缓存。

OCSP 的 Citrix Gateway 实现

Citrix Gateway 在 SSL 握手期间收到客户端证书时开始对 Citrix Gateway 设备进行 OCSP 验证。要验证证书，Citrix Gateway 创建 OCSP 请求并将其转发给 OCSP 响应程序。为此，Citrix Gateway 可以从客户端证书中提取 OCSP 响应程序的 URL，或使用本地配置的 URL。事务处于挂起状态，直到 Citrix Gateway 评估来自服务器的响应并确定是允许还是拒绝事务。如果来自服务器的响应延迟超过配置的时间，并且未配置其他响应程序，Citrix Gateway 将允许事务或显示错误，具体取决于您将 OCSP 检查设置为可选还是强制。Citrix Gateway 支持 OCSP 请求的批处理和 OCSP 响应的缓存，以减少 OCSP 响应程序的负载并提供更快的响应。

OCSP 请求批处理

Citrix Gateway 每次收到客户端证书时，都会向 OCSP 响应者发送请求。为了帮助避免 OCSP 响应程序过载，Citrix Gateway 可以在同一请求中查询多个客户端证书的状态。为了使请求批处理有效工作，您需要定义超时，以便在等待形成批处理时不会延迟对单个证书的处理。

OCSP 响应缓存

缓存从 OCSP 响应程序收到的响应可以更快地响应用户，并减少 OCSP 响应程序的负载。从 OCSP 响应程序收到客户端证书的吊销状态后，Citrix Gateway 将响应缓存在预定义的时间长度。在 SSL 握手期间收到客户端证书时，Citrix Gateway 首先检查其本地缓存是否有此证书的条目。如果发现仍然有效的条目（在缓存超时限制内），则会对该条目进行评估，并接受或拒绝客户端证书。如果未找到证书，Citrix Gateway 将向 OCSP 响应程序发送请求，并将响应存储在其本地缓存中配置的时间长度。

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

这是否有帮助？

使用 OCSP 监控证书状态

January 18, 2024

投稿者:

January 18, 2024

投稿者:

这是否有帮助？