Respondedores OCSP externos

Externalizar su servicio OCSP a una autoridad de validación proporciona varios beneficios:

  • Al separar el servicio de validación de la CA, se aumenta la seguridad al permitir que la CA resida detrás de un firewall que no permite conexiones entrantes, mientras que las VA residen en la DMZ.

  • La externalización del VA permite una mayor disponibilidad . La separación permite realizar mantenimiento incluso en CA no agrupadas en clúster sin interrumpir los servicios de OCSP.

  • Garantice el máximo rendimiento. Aunque el respondedor OCSP es rápido, no es raro que la carga en una infraestructura de VA sea extremadamente alta en ocasiones. Varios nodos de VA pueden configurarse como proxy para la misma CA tras un balanceador de carga, y los nodos de VA pueden localizarse geográficamente para garantizar un tiempo de respuesta (RTT) mínimo.

A continuación se muestra un esquema aproximado de la arquitectura utilizando respondedores OCSP externos.

imágenes/en línea/ad5fdfe3ed3b08decdc84b027debcbd7fdd02fba912f89446ff11a97e32e5853.png

Características

  • Implementa RFC 2560 , RFC 6960 y RFC 5019 .

  • Independientemente del software CA utilizado (son posibles y pueden requerirse diversos grados de integración).

  • Un respondedor puede responder por cualquier número de CA.

  • Información de estado almacenada en la base de datos SQL.

  • No depende de las listas de revocación de certificados (CRL). La información de estado se puede actualizar en tiempo real.

  • Mecanismo de complemento para extensiones OCSP personalizadas.

  • Auditoría y registro de transacciones altamente configurables. Ideal para facturación.

  • Admite HSM PKCS#11 y teclas programables.

  • Comprobación de estado integrada utilizada por los balanceadores de carga y para la supervisión.

  • Configurable para requerir solicitudes firmadas, firmantes autorizados, etc.

  • Puede responder a certificados buenos o desconocidos o inexistentes, con una configuración diferente según el URI de la solicitud.

  • Escalabilidad lineal para rendimiento y alta disponibilidad mediante la adición de múltiples nodos.

  • Alto rendimiento, >500 solicitudes por segundo en un solo servidor.

  • Renovación en línea de claves y certificados de respuesta OCSP.

  • Cliente OCSP en Java ( Client ToolBox ).

  • Soporte para la extensión FNR de Unid Noruega.

  • Soporte para la extensión CertificateHash en alemán.