有很多方法可以做到这一点，但为了使事情清晰、有条理、安全和平衡，我会为每个颁发证书设置一个 OCSP 响应程序配置。

所有这些都来自于在设置我自己的 CA 时进行的繁琐乏味的测试和配置，该 CA 通过中间 CA 颁发自己的叶子/EV 证书。

因此，从每个颁发级别签署一个新的 OCSP 响应者证书（也可以使其成为 CRL 签名证书）。在这种情况下，这导致总共 7 个证书。

在每个证书中，caIssuers 应该指向直接颁发的 CA，并且 OCSP 扩展 (authrityInfoAccess) 应该像这样指向直接颁发的 CA OCSP 委托；

服务器到 IMCA2-OCSP IMCA2、IMCA2-OCSP 到 IMCA1-OCSP IMCA1、IMCA1-OCSP 到 ROOT-OCSP ROOT-OCSP 到 ROOT-OCSP

Root 显然需要被任何正在验证的计算机信任。

每个证书可以有多个 caIssuers/OCSP URI，如果支持，一个 OCSP 响应者可以响应多个不同的 CA。

就我而言，我使用 Apache、CGI 处理程序、Expect 脚本并执行 openssl ocsp 的本地实例来完成 OCSP 工作。 OCSP 请求包含颁发者哈希，然后我会查找该哈希并使用适当的 CA 进行响应。

问题 2 有点含糊，但在此设置中，每个验证级别的信任锚都是直接颁发的 CA。因此，对于服务器，IMCA2-OCSP 响应程序最多只验证 IMCA2。我强烈推荐这样做，只是为了将验证错误隔离到每个级别。请注意，我对所有 OCSP 请求使用相同的地址，因此这不会导致设置额外的 OCSP 服务器。

您可以一直添加更多中间体直到根，并将它们包含在响应中，但好处几乎不存在。响应将验证签名和证书一直有效，但任何值得使用的 OCSP 客户端也会检查每个证书的吊销状态......这意味着无论如何都要再次访问 OCSP 响应者。

整个设置是自上而下的配置、负载和安全独立设置。理想情况下，根 CA 的 OCSP 响应应该是长期存在的，而在较低的情况下，CA 应该经常更新。这对应于您的证书的生命周期。例如，我的叶证书的有效期为 30 天，而我发出的 OCSP 响应会缓存 1 天。我的 CA 证书有效期为 1 年，其颁发的 OCSP 响应会缓存 30 天。我的经验法则是将 OCSP 响应缓存最多 1/10 的最短颁发证书的有效性。

旁注-除非明显需要第二个中间体，否则我会跳过构建一个。 Root 可以根据需要构建任意数量的中间体，并且每个中间体都可以用于不同的目的。无论出于何种目的，每个中间体都可以颁发任意数量的叶证书。创建一个可以创建中间体的中间体有点多。您更有可能希望禁用该功能以避免休路径长度。甚至向其他实体颁发 CA 证书的 CA 似乎也是从其根颁发。

与往常一样，如果您需要任何说明，请 PM 或发表评论，我会相应地进行编辑。