使用OCSP监控证书状态
在线证书状态协议(OCSP)是一种用于确定客户端SSL证书的状态的Internet协议。Citrix ADC设备支持RFC 2560中定义的OCSP。OCSP在及时信息方面提供了与证书撤销列表(CRL)的显着优势。客户证书的最新撤销状态在涉及大笔资金和高价值股票交易的交易中特别有用。它还使用更少的系统和网络资源。Citrix ADC ECSP的实现包括请求批处理和响应缓存。
OCSP实现
当Citrix ADC设备在SSL握手期间收到客户端证书时,就开始在该设备上进行OCSP验证。为了验证证书,设备创建一个OCSP请求并将其转发给OCSP响应器。为此,设备使用本地配置的URL。事务一直处于挂起状态,直到设备评估来自服务器的响应并确定是允许事务还是拒绝它。如果来自服务器的响应延迟超过了配置的时间,并且没有配置其他响应器,设备将允许事务处理或显示错误,具体取决于OCSP检查是否被设置为可选或强制。
该设备支持OCSP请求的批处理和OCSP响应的缓存,以减少OCSP响应器的负载并提供更快的响应。
OCSP请求批处理
设备每次接收到客户端证书时,都会向OCSP响应器发送一个请求。为了避免OCSP响应器过载,设备可以在同一个请求中查询多个客户端证书的状态。为了使该特性有效地工作,需要定义一个超时,以便在等待形成批处理时,单个证书的处理不会过度延迟。
OCSP响应缓存
缓存从OCSP响应器接收到的响应可以更快地响应到客户端,减少OCSP响应器的负载。当从OCSP响应器接收到客户端证书的撤销状态时,设备将响应在本地缓存一段预定义的时间。当在SSL握手期间接收到客户端证书时,设备首先检查其本地缓存中是否有此证书的条目。如果发现一个条目仍然有效(在缓存超时限制内),则对其进行评估,并接受或拒绝客户端证书。如果没有找到证书,设备将向OCSP响应器发送请求,并将响应存储在其本地缓存中,存储时间为配置的长度。
笔记:从版本12.1 Build 49.x,高速缓存超时限制现在增加到最多43200分钟(30天)。早些时候限制为1440分钟(一天)。增加的限制有助于减少OCSP服务器上的查找,并避免任何SSL / TLS连接故障,以防OCSP服务器由于网络或其他问题而无法访问。
OCSP应答器配置
配置OCSP涉及添加OCSP响应程序,将OCSP响应器绑定到证书颁发机构(CA)证书,并将证书绑定到SSL虚拟服务器。如果需要将不同的证书绑定到已配置的OCSP响应者,则需要首先扰乱响应者,然后将响应者绑定到不同的证书。
通过使用CLI添加OCSP响应者
在命令提示符处,输入以下命令配置OCSP并验证配置结果:
添加ssl ocspResponder <名称> URL > < URL(缓存(启用|禁用)[-cacheTimeout < positive_integer >]] [-batchingDepth < positive_integer >] [-batchingDelay < positive_integer >] [-resptimeout < positive_integer >] [-responderCert <字符串> | -trustResponder] [-producedAtTimeSkew < positive_integer >] [-signingCert <字符串>][-useNonce(是的|不)][-insertClientCert(YES | NO)] bind ssl certKey [] [-ocspResponder ] [-priority ] 绑定ssl vserver @(-certkeyname (ca [-ocspcheck(必填链)])<! - caltcopy - > show ssl ocspResponder [] 例子:
add ssl ocspResponder ocsp_responder1 -url "http:// www.myCA.org:80/ocsp/" -cache ENABLED -cacheTimeout 30 -batchingDepth 8 -batchingDelay 100 -resptimeout 100 -responderCert responder_cert -producedAtTimeSkew 300 -signingCert sign_cert -insertClientCert YES bind ssl certKey ca_cert -ocspResponder ocsp_responder1 -priority 1 绑定ssl vserver vs1 -certkeyname ca_cert -ca -ocspcheck强制<! - callcopy - >Sh OcsPresponder1 1)名称:OCSP_Responder1 URL:http://www.myca.org:80/ocsp/,IP:192.128.22.22缓存:启用超时:30分钟批处理:8超时:100 ms http请求超时:100ms请求签名证书:sign_cert响应验证:完整,证书:responder_cert生成时间skew:300 s nonce扩展:启用的客户端cert插入:启用done <! - callcopy - >show certkey ca_cert Name: ca_cert Status: Valid, Days to expiration:8907 Version: 3…1)VServer Name: vs1 CA Certificate 1) OCSP Responder Name: ocsp_responder1 Priority: 1 Done vserver vs vs vs vs vs vs vs1 vs1使用CLI修改OCSP响应器
不能修改响应器名称。属性可以更改所有其他参数设置SSL OcsPresponder.命令。
在命令提示符下,输入以下命令设置参数并验证配置:
设置ssl ocspResponder <名称> [URL > < URL][缓存(启用|禁用)][-cacheTimeout < positive_integer >] [-batchingDepth < positive_integer >] [-batchingDelay < positive_integer >] [-resptimeout < positive_integer >] [-responderCert <字符串> | -trustResponder] [-producedAtTimeSkew < positive_integer >] [-signingCert <字符串>][-useNonce(是的|不)]unbind ssl certKey [] [-ocspResponder ] bind ssl certKey [] [-ocspResponder ] [-priority ] show ssl ocspResponder [] 通过GUI配置OCSP响应器
- 导航交通管理>SSL>OCSP响应者,并配置OCSP响应器。
- 导航交通管理>SSL>证书,选择证书,并在行动列表,选择OCSP绑定。绑定OCSP响应器。
- 导航交通管理>负载平衡>虚拟服务器,打开虚拟服务器,在“Certificates”区域单击,绑定CA证书。
- 可选择,选择选择OCSP强制性。