EMPRESA Esta es una característica de EJBCA Enterprise.

Las respuestas OCSP preproducidas (como se describe en la sección 2.5 de la RFC 6960 ) permiten preproducir y conservar las respuestas antes de su solicitud. Esto permite un mayor rendimiento de los respondedores OCSP, ya que la firma de respuestas suele convertirse en un cuello de botella durante picos de demanda.

A continuación, se describen todos los aspectos de la configuración y la gestión de la preproducción de respuestas OCSP. Para obtener más información conceptual, consulte Respuestas OCSP preproducidas en OCSP .

Habilitación de la preproducción de OCSP

La preproducción de OCSP está habilitada por nivel de CA. A menos que esté habilitada, EJBCA nunca entregará ni conservará respuestas preproducidas para esta CA.

Para habilitar la preproducción de OCSP:

Vaya a CA UI → Autoridades de certificación .
Seleccione CA y haga clic en Editar.
Seleccione Preproducir respuestas OCSP y haga clic en Guardar .

Respuestas de la tienda a pedido

Al habilitar la función de almacenamiento de respuestas bajo demanda, se conservará una copia de las respuestas OCSP generadas al solicitar el estado de los certificados emitidos por esta CA. Esta respuesta se utilizará para atender futuras solicitudes del mismo certificado hasta que caduque su validez o se genere una nueva. Si el campo "nextUpdate" de la respuesta ha superado la fecha actual al solicitar el estado del certificado, el respondedor generará y almacenará una nueva respuesta simultáneamente con la respuesta a la solicitud.

La respuesta a una solicitud OCSP que contiene solicitudes de estado para múltiples certificados no se conservará para uso futuro debido a que la cantidad de permutaciones posibles hace que sea poco probable que alguna vez se reutilice.

Generando respuestas

Hay dos maneras de generar respuestas OCSP preproducidas: permitiendo la generación de respuestas bajo demanda (consulte Almacenar respuestas bajo demanda ) o configurando un prefirmante de respuestas OCSP. servicio. Ambos enfoques pueden utilizarse al mismo tiempo.

A pedido : las respuestas se conservan cuando se las solicita y se utilizan para solicitudes futuras hasta que caduquen.
Prefirmante de respuesta de OCSP : genera, conserva y actualiza respuestas para todos los certificados emitidos por las CA configuradas.

imágenes/descargar/archivos adjuntos/100272531/serviceworker.png

Para obtener más información sobre el trabajador de servicio, consulte Pre-firmante de respuesta de OCSP .

Limpiando respuestas

Esta funcionalidad permite la eliminación periódica de respuestas antiguas o caducadas almacenadas por el prefirmante de respuestas de OCSP . Elimina todas las respuestas excepto las que tengan el " producedAt " más reciente para cada respuesta al certificado correspondiente.

Cuando está habilitado, se ejecuta según un programa de intervalo definido cada X días/horas/minutos.

Para habilitar la limpieza de respuesta:

Haga clic en Configuración del sistema → Configuración básica .
Seleccione Activar para Habilitar limpieza de respuestas de OCSP en la sección Opciones de OCSP .
Seleccione un intervalo. Los valores válidos para el intervalo de programación son:
- Días : [1-31]
- Horario: [1-23]
- Minutos : [1-59]

imágenes/descargar/archivos adjuntos/100272531/image2020-6-3_15-5-25.png

Se recomienda mantener habilitada la opción Limpieza de respuestas de OCSP en entornos donde se generan continuamente nuevas respuestas con tiempos de expiración cortos (es decir, tiempos de nextUpdate cortos).

Publicación de las respuestas del OCSP

Hay dos tipos de publicadores que admiten la publicación de respuestas OCSP: el publicador par de autoridad de validación y el publicador de autoridad de validación .

Al igual que el Editor de Autoridad de Validación, el Editor de Autoridad de Validación de Pares publica certificados emitidos por una CA EJBCA a una VA, pero mediante TLS mediante sistemas de pares EJBCA . Para obtener más información sobre los editores, consulte el Editor de Autoridad de Validación de Pares y el Editor de Autoridad de Validación .

Autoridad de validación del editor par

Para permitir la publicación de respuestas OCSP en un VA, cree un publicador par de autoridad de validación configurado de acuerdo con el siguiente ejemplo.

Tenga en cuenta que la opción Almacenar respuestas OCSP en la autoridad de validación debe estar habilitada para que se publiquen las respuestas.

imágenes/descargar/archivos adjuntos/100272531/peerPublisher.jpg

La configuración de la cola del publicador funciona de forma similar a las CRL y los certificados. Si la opción "Usar cola para respuestas OCSP" está habilitada, si se produce un error al publicar las respuestas en el VA, estas se pondrán en cola a la espera de la siguiente ronda de procesamiento.

Editor de autoridad de validación

Para utilizar el Publicador de autoridad de validación, cree un Publicador de autoridad de validación configurado según el siguiente ejemplo.

imágenes/descargar/archivos adjuntos/100272531/VAP.jpg

Al habilitar la función "Almacenar respuestas de OCSP" en la autoridad de validación, se publican las respuestas de OCSP utilizando la fuente de datos establecida en la configuración del publicador de la autoridad de validación. Para obtener más información sobre la configuración del publicador de la autoridad de validación, consulte "Publicado de la autoridad de validación" .

Tenga en cuenta que, según la implementación, la publicación de respuestas OCSP se produce de forma asincrónica e inmediatamente después de crear la respuesta OCSP, firmarla y devolver la respuesta al cliente.

Extensiones OCSP

Generalmente, EJBCA no persistirá las respuestas que contengan extensiones, con la excepción de las extensiones que se indican a continuación. Sin embargo, dichas solicitudes se atenderán normalmente cuando no exista una respuesta almacenada. Es decir, se generará una nueva respuesta para dichas solicitudes.

Mientras tanto

Tener habilitadas las respuestas preproducidas permitirá al cliente enviar una solicitud con la extensión nonce. Sin embargo, el respondedor lo ignorará y enviará una respuesta sin la extensión nonce. Esto se debe a que cada nonce solo es válido para esa solicitud específica y no puede entregarse a otros clientes. Por lo tanto, no tiene sentido conservar la respuesta para uso futuro.

Corte de archivo

Si se configura el límite de archivo para el respondedor, también se usará al preproducir respuestas para él. Es decir, el comportamiento no varía en comparación con no usar respuestas preproducidas. Para más información, consulte el apartado "Límite de archivo" .

Emisión de respuestas finales del OCSP

Según la norma ETSI EN 319 411-2 (CSS-6.3.10-09), los proveedores de servicios de confianza (TSP) pueden calcular una última respuesta OCSP para cada certificado emitido cuando el certificado de la CA esté a punto de caducar. En la práctica, esto se realiza generando respuestas con 'nextUpdate' establecido en '99991231235959Z', firmándolas y conservándolas antes de que caduque la CA. El servicio de prefirmación de respuestas OCSP puede utilizarse para realizar esta operación.

Dado que firmar las respuestas para cada certificado emitido por una CA puede requerir mucho tiempo y generar una alta carga en el HSM, esto debe hacerse con bastante antelación a la fecha de vencimiento de la CA. El intervalo de tiempo se puede configurar mediante el campo de entrada "Tiempo antes del vencimiento de la CA" . Una vez emitida la respuesta OCSP final para un certificado, no se conservarán nuevas respuestas para ese certificado. Para obtener más información sobre la configuración del servicio, consulte "Prefirmante de respuestas OCSP" .

Crear respuestas OCSP preproducidas firmadas por una CA

Si desea emitir respuestas OCSP preproducidas directamente desde una CA, utilizando su clave de firma, puede hacerlo sin crear una vinculación de clave OCSP para la CA. También debe especificar el tiempo de validez de las respuestas OCSP en conf/ocsp.properties .