Çevrimiçi Yanıtlayıcılar Nasıl Çalışır?

X.509 sertifikalarına dayanan çoğu uygulamanın, kimlik doğrulama gerçekleştirilirken kullanılan sertifikaların durumunu doğrulaması gerekir. Bu sertifika geçerliliği ve iptali denetimi, bir sertifika zincirinde en yukarıdaki kök sertifikaya kadar tüm sertifikalarda gerçekleştirilir. Kök sertifika veya zincirdeki herhangi bir sertifika geçerli değilse, zincirde geçersiz sertifikanın altındaki sertifikalar da geçersiz olur.

Doğrulama aşağıdakileri içerir:

• Her sertifikanın imzası doğrudur.
  
  
• Geçerli tarih ve zaman, her sertifikanın geçerlilik süresinin içindedir.
  
  
• Hiçbir sertifika bozuk veya hatalı biçimlendirilmiş değildir.
  
  

Ayrıca, sertifika zincirindeki her sertifikanın iptal durumu denetlenir. İptal denetimi, ya sertifika iptal listesi (CRL) ya da Çevrimiçi Sertifika Durum Protokolü (OCSP) yanıtı kullanılarak gerçekleştirilir.

Microsoft Çevrimiçi Yanıtlayıcı, bir sertifika alıcısının, Köprü Metni Aktarım Protokolü'nü (HTTP) kullanarak bir OCSP yanıtlayıcısına sertifika durum isteği gönderebilmesine izin veren OCSP protokolünü kullanır. Bu OCSP yanıtlayıcı, sertifika durumunu gösteren eksiksiz, dijital olarak imzalanmış bir yanıt döndürür. Her istek için alınan verinin miktarı, CA'da iptal edilen sertifika sayısından bağımsız olarak sabittir.

Daha fazla bilgi için, bkz. RFC 2560, "X.509 Internet Ortak Anahtar Altyapısı Çevrimiçi Sertifika Durum Protokolü - OCSP" (https://go.microsoft.com/fwlink/?LinkID=71068). (Bu sayfa İngilizce içeriğe sahip olabilir.)

Microsoft'un OCSP uygulaması olan Çevrimiçi Yanıtlayıcı, istemci ve sunucu bileşenlerine ayrılır. Sunucu bileşeni, Active Directory Sertifika Hizmetleri (AD CS) sunucu rolü tarafından sunulan yeni bir hizmet olarak tanıtılırken, istemci bileşeni CryptoAPI 2.0 kitaplığına dahil edilmiştir. Aşağıdaki yordam, istemci ve sunucu bileşenlerinin birbiriyle nasıl etkileşim kurduğunu açıklar:

1. Bir uygulama, OCSP yanıtlayıcılarının yerlerini belirten bir sertifikayı doğrulamaya çalıştığında, istemci bileşen ilk olarak, geçerli iptal verilerini içeren önbelleğe alınmış bir OCSP yanıtı bulmak için yerel belleği ve disk önbelleklerini arar.
   
   
2. Önbelleğe alınmış, kabul edilebilir yanıt bulunmazsa, HTTP protokolü kullanılarak Çevrimiçi Yanıtlayıcıya bir istek gönderilir.
   
   
3. Çevrimiçi Yanıtlayıcı Web proxy isteğin kodunu çözer ve doğrular. İstek geçerliyse, isteği doldurmak için gerekli iptal bilgileri için Web proxy önbelleği denetlenir. Önbellekte geçerli bilgi yoksa, istek Çevrimiçi Yanıtlayıcı hizmetine iletilir.
   
   
4. Çevrimiçi Yanıtlayıcı hizmeti isteği alır, varsa yerel bir CRL'de ve CA tarafından verilen en güncel CRL'nin önbellekteki kopyasında denetler.
   
   
5. Sertifika, yerel veya önbellekteki iptal listelerinde yer almıyorsa, iptal sağlayıcısı, sertifikanın durumunu denetlemek için, varsa iptal yapılandırmasında listelenen konumlardan güncelleştirilmiş bir CA CRL'si alır. Sağlayıcı daha sonra sertifikanın durumunu Çevrimiçi Yanıtlayıcı hizmetine döndürür.
   
   
6. Ardından, Web proxy yanıtı kodlar ve sertifikanın geçerli olduğunu bildirmek için istemciye geri gönderir. Ayrıca, bu sertifikayla ilgili başka durum istekleri gelmesi olasılığına karşı, yanıtın bir kopyasını da belirli bir süre önbellekte saklar.