De flesta program som kräver X.509-certifikat behöver verifiera status för det certifikat som används under autentiserings-, signerings- eller krypteringsåtgärder. Detta certifikats giltighets- och återkallningskontroll utförs för alla certifikat i en certifikatkedja, upp till rotcertifikatet. Om rotcertifikatet, eller något certifikat i kedjan, är ogiltigt, i så fall är certifikatet under det ogiltiga certifikatet i kedjan också ogiltigt.

Verifieringen inkluderar följande:

  • Varje certifikats signatur är giltig.

  • Det aktuella datumet och tiden är inom varje certifikats giltighetsperiod.

  • Inget certifikat är skadat eller har felaktigt format.

Dessutom kontrolleras varje certifikat i certifikatkedjan för dess återkallningsstatus. Återkallningskontroll kan utföras genom att använda antingen en lista över återkallade certifikat (CRL) eller med hjälp av OCSP-svar (Online Certificate Status Protocol).

Vad är OCSP?

Microsoft Onlinesvarare implementerar OCSP-protokollet, vilket låter en mottagare av ett certifikat skicka en certifikatstatusbegäran till en OCSP-svarare med hjälp av HTTP. Denna OCSP-svarare returnerar ett definitivt, digitalt signerat svar som anger certifikatets status. Mängden hämtade data per begäran förblir konstant oavsett hur många återkallade certifikat det finns i certifikatutfärdaren.

Mer information hittar du i avsnittet RFC 2560, "X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP" (https://go.microsoft.com/fwlink/?LinkID=71068).

Onlinesvarare

Microsofts implementering av OCSP (onlinesvararen) är uppdelad i klient- och serverkomponenter. Klientkomponenten är inbyggd i CryptoAPI 2.0-biblioteket, medan serverkomponenten introduceras som en ny tjänst som tillhandahålls av serverrollen Active Directory-certifikattjänster (AD CS). Följande process beskriver hur klient- och serverkomponenterna samverkar:

  1. När ett program försöker att verifiera ett certifikat som anger platser till OCSP-svarare söker klientkomponenten först i det lokala minnet och diskcachen efter ett cachat OCSP-svar som innehåller aktuella återkallningsdata.

  2. Om inget acceptabelt cachat svar hittas skickas en begäran till en onlinesvarare via HTTP.

  3. Webbproxyn för Online Responder avkodar och verifierar begäran. Om begäran är giltig kontrolleras webbproxyns cache för den återkallningsinformation som krävs för begäran. Om ingen aktuell information finns i cachen vidarebefordras begäran till tjänsten Onlinesvarare.

  4. Tjänsten Onlinesvarare tar begäran och kontrollerar en lokal lista över återkallade certifikat, om tillgänglig, och ett cachat exemplar av den senaste listan över återkallade certifikat som utfärdats av certifikatutfärdaren.

  5. Om certifikatet inte finns i den lokala eller cachade återkallningslistan hämtar återkallningsprovidern en uppdaterad lista över återkallade certifikat från certifikatutfärdaren, om tillgänglig, från de platser som anges i konfigurationen av återkallade certifikat för att kunna kontrollera status för certifikatet. Providern returnerar status för certifikatet till tjänsten Onlinesvarare.

  6. Webbproxyn kodar sedan och skickar svaret tillbaka till klienten för att meddela klienten att certifikatet är giltigt. Den cachar även en kopia av svaret under begränsad tid ifall det skulle förekomma ytterligare statusbegäran om detta certifikat.