Online Certificate Status Protocol

OCSP Хариулагч

Гэрчилгээний хүчинтэй байдлыг бодит цагаар шалгана. CRL татахгүйгээр нэг гэрчилгээний статусыг шууд мэдэх боломжтой.

Хариултын төрлүүд

OCSP хариулагч 3 төрлийн хариулт буцаана

✓

GOOD

Гэрчилгээ хүчинтэй, хүчингүй болгоогүй

✗

REVOKED

Гэрчилгээ хүчингүй болгосон — шалтгаан, огноо бүхий

UNKNOWN

Энэ CA-аас олгоогүй гэрчилгээ

Endpoint

RFC 6960 стандартын дагуу OCSP хүсэлт илгээнэ

OCSP Responder URL

POST https://ocsp.gesign.mn/ocsp

Content-Type (хүсэлт)application/ocsp-request

Content-Type (хариулт)application/ocsp-response

ФорматDER encoded

Cache TTL4 цаг (max-age=14400)

Signing keyOCSP delegated certificate (Issuing CA-аас тусдаа)

Хөгжүүлэгчдэд

OpenSSL ашиглан OCSP шалгах жишээ

# Гэрчилгээний OCSP статус шалгах
openssl ocsp \
  -issuer issuing-ca.pem \
  -cert user-cert.pem \
  -url https://ocsp.gesign.mn/ocsp \
  -resp_text

# curl ашиглах (DER encoded)
openssl ocsp -reqout req.der \
  -issuer issuing-ca.pem \
  -cert user-cert.pem -no_nonce

curl -X POST \
  -H "Content-Type: application/ocsp-request" \
  --data-binary @req.der \
  https://ocsp.gesign.mn/ocsp \
  -o resp.der

Стандарт

RFC 6960 — Online Certificate Status Protocol (OCSP)
RFC 5019 — Lightweight OCSP Profile
OCSP Signing Certificate — Issuing CA-аас тусдаа delegated cert
Nonce дэмжлэг — replay attack-аас хамгаална