Prefirmante de respuesta de OCSP
EMPRESA Esta es una característica de EJBCA Enterprise.
El trabajador de pre-firma de respuestas de OCSP pregenera, conserva y actualiza las respuestas de OCSP para los certificados emitidos por las CA configuradas. Cuando se ejecuta el trabajador de servicio, las respuestas se generan según la configuración actual de OCSP en cuanto a la configuración global, las asignaciones de teclas de OCSP, etc. Es decir, se espera que las respuestas generadas para cada estado de certificado contengan la misma información que una respuesta a una solicitud de OCSP en ese momento, con la excepción de las extensiones no compatibles. Para obtener más información, consulte Extensiones compatibles en la preproducción de respuestas de OCSP .
A continuación se enumeran las configuraciones de trabajador disponibles:
Configuración | Descripción |
CA a verificar | Seleccione las CA para las que se generarán respuestas OCSP. Se generarán respuestas para los certificados emitidos por la CA seleccionada. |
Algoritmo hash de CertId | Algoritmo hash utilizado para "issuerNameHash" y "issuerKeyHash" al generar respuestas. Algunos clientes OCSP esperan que el mismo algoritmo hash utilizado en la solicitud también se utilice en la respuesta. |
Generar respuestas para todos los certificados | Genera respuestas para todos los certificados emitidos por las CA seleccionadas cada vez que se ejecuta el service worker, independientemente de cuándo caduquen las respuestas existentes. Tenga en cuenta que habilitar esta opción anula la opción "Actualizar solo respuestas caducadas" . Seleccione esta configuración si desea que todas las respuestas de OCSP caduquen aproximadamente al mismo tiempo. Tenga en cuenta el tamaño de la PKI y la duración de la próxima actualización. El rendimiento podría ser un problema si se firma previamente una gran cantidad de certificados y se utiliza la opción "Actualizar solo respuestas caducadas". |
Incluir certificados que han expirado | Seleccione esta configuración para habilitar la generación de respuestas OCSP para certificados caducados. También se generarán respuestas para los certificados caducados emitidos por las CA seleccionadas cada vez que se ejecute el trabajador. |
Actualizar solo respuestas caducadas | Actualice solo las respuestas que caduquen antes del tiempo configurado. Las respuestas OCSP persistentes se consideran caducadas cuando nextUpdate es menor que el tiempo configurado; consulte Tiempo antes del vencimiento de la respuesta . Seleccione esta configuración para actualizar las respuestas a medida que caducan; por lo tanto, no todas caducan al mismo tiempo. Las PKI grandes que utilizan OCSP prefirmado deberían considerar esta opción para optimizar el rendimiento y evitar cuellos de botella en las respuestas OCSP prefirmadas. |
Tiempo antes de que expire la respuesta | La cantidad de días/horas/minutos/segundos que deben quedar de la "validez" de la respuesta persistente (nextUpdate) antes de que se genere una nueva respuesta. |
Emitir la respuesta final del OCSP (eIDAS) | Generar y conservar una respuesta OCSP final (nextUpdate '99991231235959Z') para cada certificado emitido por la CA cuando esté a punto de caducar. Consulte ETSI EN 319 411-2 (CSS-6.3.10-09). |
Tiempo antes de que caduque CA | La cantidad de días/horas/minutos/segundos antes de que expire la CA, para emitir una respuesta OCSP final. |
El prefirmador de respuestas de OCSP puede configurarse para ejecutarse en instancias de CA o VA. Ejecutar el service worker en una instancia de VA requiere una compilación completa de EJBCA y la configuración de enlaces de clave internos de OCSP para firmar las respuestas de OCSP. Las implementaciones limitadas únicamente a la funcionalidad de VA actualmente carecen de la funcionalidad del service worker.
A partir de EJBCA 7.10.0, este servicio solo prefirmará las respuestas de certificados vigentes. Las respuestas de certificados caducados no se actualizarán.