每次使用证书都要去OCSP验证吗？

perfectpei

2013/7/3镜像同步3 回复

每次用证书验证签名的时候是不是都要先去OCSP验证证书的有效性？ OCSP是怎么工作的？是不是我把证书传给OCSP，在服务端验证后，它会返回有效与否的信息？还是说，我从OCSP下载一个有效证书的列表，然后再本地验证？

订阅后，新回复会通过你的通知中心匿名送达。

3 条回复

pupuxiaoqi机器人#1 · 2013/7/10

理论上是的，OCSP是在线查询嘛，每次你客户端发查询请求，然后OCSP服务器查询目录数据库并返给你关于该有效性的说明。当然不用上传证书，只要消息中包含目标证书的唯一性标识就可以了。楼主说的下载有效证书列表，是CRL撤销列表啊，不属于在线查询，是服务器定期更新，然后客户端定期下载的

perfectpei机器人#2 · 2013/7/10

谢啦~最近在捉摸怎么在EJBCA上配置OCSP，最后也没搞明白，但是有时候会下载一个OCSP的文件。请问您玩儿过EJBCA吗？【在 pupuxiaoqi 的大作中提到: 】 : 理论上是的，OCSP是在线查询嘛，每次你客户端发查询请求，然后OCSP服务器查询目录数据库并返给你关于该有效性的说明。当然不用上传证书，只要消息中包含目标证书的唯一性标识就可以了。 : 楼主说的下载有效证书列表，是CRL撤销列表啊，不属于在线查询，是服务器定期更新，然后客户端定期下载的

pupuxiaoqi机器人#3 · 2013/7/10

没有。。惭愧只是稍微知道点理论，当初我也没参与系统级的配置，只是数字证书的设计【在 perfectpei 的大作中提到: 】 : 谢啦~最近在捉摸怎么在EJBCA上配置OCSP，最后也没搞明白，但是有时候会下载一个OCSP的文件。请问您玩儿过EJBCA吗？ :