使用OCSP监视证书状态

联机证书状态协议（OCSP）是一种Internet协议，用于确定客户端SSL证书的状态。Citrix ADC设备支持RFC 2560中定义的OCSP。OCSP在及时提供信息方面比证书撤销列表（CRL）具有显著优势。客户证书的最新吊销状态在涉及大额资金和高价值股票交易的交易中特别有用。它还使用更少的系统和网络资源。OCSP的Citrix ADC实现包括请求批处理和响应缓存。

OCSP实现

Citrix ADC设备上的OCSP验证在SSL握手期间收到客户端证书时开始。要验证证书，设备将创建一个OCSP请求并将其转发给OCSP响应程序。为此，设备使用本地配置的URL。事务处于挂起状态，直到设备评估来自服务器的响应并确定是允许事务还是拒绝事务为止。如果来自服务器的响应延迟超过配置的时间，并且没有配置其他响应程序，则设备将允许事务或显示错误，具体取决于OCSP检查分别设置为可选还是强制。

设备支持批处理OCSP请求和高速缓存OCSP响应，以减少OCSP响应器上的负载并提供更快的响应。

OCSP请求批处理

每次设备收到客户端证书时，都会向OCSP响应程序发送请求。为了避免OCSP响应程序过载，设备可以在同一请求中查询多个客户端证书的状态。为了有效地工作，需要定义一个超时，以便在等待形成批处理时，单个证书的处理不会过度延迟。

OCSP响应缓存

从OCSP响应者收到的响应的缓存使得能够更快地响应客户端，并降低OCSP响应器上的负载。在从OCSP响应器接收到客户端证书的撤销状态时，设备将在本地缓存响应以进行预定义的时间长度。当在SSL握手期间收到客户端证书时，设备首先检查其本地缓存是否有关此证书的条目。如果发现仍然有效的条目（在缓存超时限制内），则会评估它，并拒绝客户端证书。如果找不到证书，则设备向OCSP响应程序发送请求，并将其本地缓存中的响应存储在配置的时间长度。

笔记：从版本12.1 build 49.x开始，缓存超时限制现在增加到最多43200分钟（30天）。早些时候，限制为1440分钟（一天）。增加的限制有助于减少OCSP服务器上的查找，并在由于网络或其他问题无法访问OCSP服务器时避免任何SSL/TLS连接故障。

OCSP响应器配置

配置OCSP涉及添加OCSP响应程序、将OCSP响应程序绑定到证书颁发机构（CA）证书以及将证书绑定到SSL虚拟服务器。如果需要将不同的证书绑定到已配置的OCSP响应程序，则需要首先解除响应程序的绑定，然后将响应程序绑定到不同的证书。

使用CLI添加OCSP响应程序

在命令提示下，键入以下命令以配置OCSP并验证配置：

添加ssl ocspResponder-url[-cache（ENABLED | DISABLED）[-cacheTimeout][-batchingDepth][-batchingDelay][-responderCert][-useNonce（是|否）][-insertClientCert（是|否）]<！--NeedCopy-->

绑定ssl certkey [] [-ocspresponder ] [-priority ] <！ -  yourcopy  - >

绑定ssl vserver@（-certkeyName（CA[-ocspCheck（必需|可选）]）<--需要复制-->

显示ssl ocspResponder[]<！--NeedCopy-->

例子：

添加SSL OCSpresponder OCSP_Responder1 -URL“http：// www.myca.org:80/ocsp/”-cache启用--cachetimeout 30  - 拍摄Depth 8-areSpingdelay 100 -responDercert responder_cert -produceattyakw 300 -signingcert sign_cert -insertclientcert是<！ - 需要 - >

绑定ssl certkey ca_cert -ocsprespononder ocsp_responder1-priority 1 <！ -  caltcopy  - >

绑定ssl vserver vs1-certkeyName ca_cert-ca-ocspCheck强制<--需要复制-->

sh ocspResponder ocsp_responder1 1）名称：ocsp_responder1 URL:http://www.myCA.org:80/ocsp/，IP:192.128.22.22缓存：启用超时：30分钟批处理：8超时：100毫秒HTTP请求超时：100毫秒请求签名证书：签名证书响应验证：完整，证书：响应者\证书生成时间偏差：300秒当前扩展：启用客户端证书插入：启用完成<--需要复制-->

显示certkey ca_证书名称：ca_证书状态：有效，过期天数：8907版本：3…1）VSServer名称：vs1 ca证书1）OCSP响应程序名称：OCSP_响应程序1优先级：1完成<！--NeedCopy-->

sh ssl vs vs1 vs服务器vs1的高级ssl配置：DH:已禁用…1）证书密钥名称：ca_证书ca证书OCSPCheck:必需1）密码名称：默认说明：预定义的密码别名已完成<<--需要复制-->

使用CLI修改OCSP响应者

您无法修改响应者名称。可以使用SET SSL OCSPRESPONONDER命令更改所有其他参数。

在命令提示符处，键入以下命令以设置参数并验证配置：

设置ssl ocspResponder[-url][-cache（ENABLED | DISABLED）][-cacheTimeout][-batchingDepth][-ocspResponder]绑定ssl certKey[][-ocspResponder][-优先级<正整数>]显示ssl ocspResponder[]<！--NeedCopy-->

使用GUI配置OCSP响应器

1. 引导到交通管理>SSL.>OCSP响应器，并配置OCSP响应者。
2. 引导到交通管理>SSL.>证书，选择证书，并在行动列表，选择OCSP绑定. 绑定OCSP响应程序。
3. 引导到交通管理>负载均衡>虚拟服务器，打开虚拟服务器，然后单击证书部分以绑定CA证书。
4. （可选）选择选择OCSP必填项.