如何为私有 CA 设置 OCSP 服务器并且查询很少

编程问答 2022-05-09

问题描述

我已经生成了我的私有根 CA,然后是用于签署证书的中间 CA,而不是直接生成 RootCA。现在我想设置 OCSP 服务器,因此有一些查询。

  • 由于我使用的是中间 CA,我是否应该使用 Int CA 来生成 CSR 并生成 CRT?还是应该使用 Root 来生成 OCSP crt? 我计划提供大约 400-500 台服务器证书,因此 想知道一台 ocsp 服务器是否足以满足我的检查需求 撤销? 谁能告诉我是否可以直接使用nginx 设置ocsp服务器还是只需要我们openssl ocsp api?

解决方法

您通常会使用专用的 Int CA 来生成 CSR。根就像一个冬青圣杯,应该保存在一个最好的离线保存位置。 一旦OCSP Server 可以处理它,只要您不需要HA。但重要的不是服务器数量,而是您期望的客户端数量,因为并非所有客户端都可以处理 OCSP-Stappling。您确实需要 openssl api,因为 nginx 不会处理开箱即用的加密内容。

linuxocspopensslopenssl-engine

相关问答

matplotlib报错:AttributeError: module 'backend_interagg' has no attribute 'FigureCanvas'. Did you mean: 'FigureCanvasAgg'?
使用本地python环境可以成功执行 import pandas as pd impor...
gitlab登录失败,报错:This challenge page was accidentally cached by an intermediary and is no longer available.
设置时间 控制面板
后端开发常见错误
错误1:Request method ‘DELETE‘ not supported 错误还原:...
docker常见错误
错误1:启动docker镜像时报错:Error response from daemon:...
idea常见错误
错误1:private field ‘xxx‘ is never assigned 按Alt...
pip安装依赖失败
报错如下,通过源不能下载,最后警告pip需升级版本 Requirem...