使用OCSP监控证书状态
OCSP (Online Certificate Status Protocol)是一种Internet协议,用于确定客户端SSL证书的状态。Citrix ADC设备支持RFC 2560中定义的OCSP。在信息的及时性方面,OCSP比证书撤销列表(crl)具有显著的优势。客户证书的最新撤销状态在涉及大额资金和高价值股票交易的交易中特别有用。它还使用更少的系统和网络资源。OCSP的Citrix ADC实现包括请求批处理和响应缓存。
OCSP实现
当Citrix ADC设备在SSL握手期间收到客户端证书时,就开始在该设备上进行OCSP验证。为了验证证书,设备创建一个OCSP请求并将其转发给OCSP响应器。为此,设备使用本地配置的URL。事务一直处于挂起状态,直到设备评估来自服务器的响应并确定是允许事务还是拒绝它。如果来自服务器的响应延迟超过了配置的时间,并且没有配置其他响应器,设备将允许事务处理或显示错误,具体取决于OCSP检查是否被设置为可选或强制。
该设备支持OCSP请求的批处理和OCSP响应的缓存,以减少OCSP响应器的负载并提供更快的响应。
OCSP请求批处理
设备每次接收到客户端证书时,都会向OCSP响应器发送一个请求。为了避免OCSP响应器过载,设备可以在同一个请求中查询多个客户端证书的状态。为了使该特性有效地工作,需要定义一个超时,以便在等待形成批处理时,单个证书的处理不会过度延迟。
OCSP响应缓存
缓存从OCSP响应器接收到的响应可以更快地响应到客户端,减少OCSP响应器的负载。当从OCSP响应器接收到客户端证书的撤销状态时,设备将响应在本地缓存一段预定义的时间。当在SSL握手期间接收到客户端证书时,设备首先检查其本地缓存中是否有此证书的条目。如果发现一个条目仍然有效(在缓存超时限制内),则对其进行评估,并接受或拒绝客户端证书。如果没有找到证书,设备将向OCSP响应器发送请求,并将响应存储在其本地缓存中,存储时间为配置的长度。
请注意:从版本12.1构建49。X时,缓存超时限制现在增加到最大43200分钟(30天)。早些时候,限制是1440分钟(一天)。增加限制有助于减少在OCSP服务器上的查找,避免由于网络或其他问题导致OCSP服务器不可达时发生任何SSL/TLS连接失败。
OCSP应答器配置
配置OCSP包括添加OCSP响应器、将OCSP响应器与CA证书绑定、将CA证书与SSL虚拟服务器绑定。如果需要将不同的证书绑定到已经配置好的OCSP响应器,则需要先解绑定该响应器,然后再将该响应器绑定到另一个证书。
1 .通过命令行添加OCSP响应器
在命令提示符处,输入以下命令配置OCSP并验证配置结果:
添加ssl ocspResponder <名称> URL > < URL(缓存(启用|禁用)[-cacheTimeout < positive_integer >]] [-batchingDepth < positive_integer >] [-batchingDelay < positive_integer >] [-resptimeout < positive_integer >] [-responderCert <字符串> | -trustResponder] [-producedAtTimeSkew < positive_integer >] [-signingCert <字符串>][-useNonce(是的|不)][-insertClientCert(YES | NO)] bind ssl certKey [] [-ocspResponder ] [-priority ] bind ssl vserver @ (-certkeyName (CA [-ocspCheck(必选|可选)])) show ssl ocspResponder [] 例子:
add ssl ocspResponder ocsp_responder1 -url "http:// www.myCA.org:80/ocsp/" -cache ENABLED -cacheTimeout 30 -batchingDepth 8 -batchingDelay 100 -resptimeout 100 -responderCert responder_cert -producedAtTimeSkew 300 -signingCert sign_cert -insertClientCert YES bind ssl certKey ca_cert -ocspResponder ocsp_responder1 -priority 1 bind ssl vserver vs1 -certkeyName ca_cert -CA -ocspCheck必选sh ocspResponder ocsp_responder1 1)名称:ocsp_responder1 URL: http://www.myCA.org:80/ocsp/, IP: 192.128.22.22 Caching: Enabled Timeout: 30 minutes Batching: 8 Timeout: 100mS HTTP Request Timeout: 100mS Request Signing Certificate: sign_cert Response Verification: Full, Certificate: responder_cert ProducedAt Time Skew: 300 s Nonce扩展:启用客户端证书插入:启用已完成show certkey ca_cert Name: ca_cert Status: Valid, Days to expiration:8907 Version: 3…1)VServer Name: vs1 CA Certificate 1) OCSP Responder Name: ocsp_responder1 Priority: 1 Done 1) CertKey Name: ca_cert CA Certificate OCSPCheck:必选1)Cipher Name: DEFAULT Description:预定义Cipher Alias Done 使用CLI修改OCSP响应器
不能修改响应器名称。属性可以更改所有其他参数设置ssl ocspResponder命令。
在命令提示符下,输入以下命令设置参数并验证配置:
设置ssl ocspResponder <名称> [URL > < URL][缓存(启用|禁用)][-cacheTimeout < positive_integer >] [-batchingDepth < positive_integer >] [-batchingDelay < positive_integer >] [-resptimeout < positive_integer >] [-responderCert <字符串> | -trustResponder] [-producedAtTimeSkew < positive_integer >] [-signingCert <字符串>][-useNonce(是的|不)]unbind ssl certKey [] [-ocspResponder ] bind ssl certKey [] [-ocspResponder ] [-priority ] show ssl ocspResponder [] 通过GUI配置OCSP响应器
- 导航到交通管理>SSL>OCSP响应者,并配置OCSP响应器。
- 导航到交通管理>SSL>证书,选择证书,并在行动列表中,选择OCSP绑定.绑定OCSP响应器。
- 导航到交通管理>负载平衡>虚拟服务器,打开虚拟服务器,在“Certificates”区域单击,绑定CA证书。
- 可选地,选择选择OCSP强制性.