Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解联机证书状态协议和证书吊销列表

OCSP 用于检查 X509 证书的吊销状态。OCSP 实时提供证书的吊销状态,在银行交易和股票交易等时间敏感的情况下非常有用。

通过向驻留在 SRX 系列防火墙之外的 OCSP 服务器发送请求来检查证书的吊销状态。根据服务器的响应,允许或拒绝 VPN 连接。OCSP 响应不会缓存在 SRX 系列防火墙上。

OCSP 服务器可以是颁发证书的证书颁发机构 (CA),也可以是指定的授权响应方。可以手动配置 OCSP 服务器的位置,也可以从正在验证的证书中提取。首先将请求发送到 CA 配置文件中使用 [edit security pki ca-profile profile-name revocation-check] 层次结构级别的语句手动ocsp url配置的 OCSP 服务器位置;每个 CA 配置文件最多可以配置两个位置。如果无法访问第一个配置的 OCSP 服务器,则会将请求发送到第二个 OCSP 服务器。如果无法访问第二个 OCSP 服务器,则会将请求发送到证书的 AuthorityInfoAccess 扩展字段中的位置。还必须配置该use-ocsp选项,因为证书吊销列表 (CRL) 是默认检查方法。

SRX 系列防火墙仅接受来自 CA 或授权响应方的签名 OCSP 响应。收到的响应使用受信任的证书进行验证。响应验证如下:

  1. 为配置的 CA 配置文件注册的 CA 证书用于验证响应。

  2. OCSP 响应可能包含用于验证 OCSP 响应的证书。收到的证书必须由在 SRX 系列防火墙中注册的 CA 证书签名。CA 证书验证收到的证书后,将使用该证书验证 OCSP 响应。

来自 OCSP 服务器的响应可以由不同的 CA 签名。支持以下方案:

  • 为设备颁发最终实体证书的 CA 服务器也会对 OCSP 吊销状态响应进行签名。SRX 系列防火墙使用 SRX 系列防火墙中注册的 CA 证书验证 OCSP 响应签名。验证 OCSP 响应后,将检查证书吊销状态。

  • 授权响应方对 OCSP 吊销状态响应进行签名。授权响应方的证书和正在验证的最终实体证书必须由同一 CA 颁发。首先使用 SRX 系列防火墙中注册的 CA 证书验证授权响应方。OCSP 响应使用响应方的 CA 证书进行验证。然后,SRX 系列防火墙使用 OCSP 响应检查最终实体证书的吊销状态。

  • 要验证的最终实体证书和 OCSP 响应有不同的 CA 签名者。OCSP 响应由证书链中的 CA 签名,用于验证的最终实体证书。(参与 IKE 协商的所有对等方都需要在其各自的证书链中至少有一个通用可信 CA。OCSP 响应方的 CA 使用证书链中的 CA 进行验证。验证响应方 CA 证书后,将使用响应方的 CA 证书验证 OCSP 响应。

为了防止重放攻击,可以在 OCSP 请求中发送 随机数 有效负载。默认情况下会发送随机数有效负载,除非显式禁用。如果启用,SRX 系列防火墙应 OCSP 响应包含随机有效负载,否则吊销检查将失败。如果 OCSP 响应程序无法使用随机数有效负载进行响应,则必须在 SRX 系列防火墙上禁用随机数有效负载。

在正常业务过程中,证书会因各种原因被吊销。例如,如果您怀疑证书已泄露,或者证书持有者离开公司,您可能希望吊销证书。

您可以通过两种方式管理证书吊销和验证:

  • 本地 — 这是一个有限的解决方案。

  • 通过引用证书颁发机构 (CA) 证书吊销列表 (CRL) — 您可以按指定的时间间隔或 CA 设置的默认时间间隔自动联机访问 CRL。

在第 1 阶段协商中,SRX 系列防火墙验证在 IKE 交换期间从对等方收到的 EE 证书,并使用 CRL 确保 EE 证书未被其 CA 吊销。

如果设备上未加载 CRL,并且对等证书颁发者是受信任的 CA:

  1. Junos OS 通过配置的 LDAP 或 HTTP CRL 位置(即 CRL 分发点 (CDP))检索 CRL(如果在 CA 配置文件中定义)。
  2. 如果未在 CA 配置文件中配置 CRL 分发点,则设备将在 CA 颁发的证书(如果存在)中使用 CDP 扩展。CA 颁发的证书可以是管理员注册的证书,也可以是第 1 阶段协商期间收到的证书。

如果 EE 证书不是由根 CA 颁发的,则每个中间 CA 的证书将经过相同的验证和吊销检查。根 CA 的 CRL 用于检查根 CA 颁发的证书是否已吊销。如果未在根 CA 配置文件中配置 CDP,则设备将使用 CA 颁发的证书(如果存在)中的 CDP 扩展名。

可以将 X509 证书中的 CRL 分发点扩展 (.cdp) 添加到 HTTP URL 或 LDAP URL。

如果证书不包含证书分发点扩展,并且无法通过轻型目录访问协议 (LDAP) 或超文本传输协议 (HTTP) 自动检索 CRL,则可以手动检索 CRL 并将其加载到设备中。

即使禁用了 CRL 检查,也会根据证书吊销列表 (CRL) 验证本地证书。可以通过公钥基础结构 (PKI) 配置禁用 CRL 检查来阻止此操作。禁用 CRL 检查后,PKI 将不会根据 CRL 验证本地证书。

在线证书状态协议与证书吊销列表的比较

联机证书状态协议 (OCSP) 和证书吊销列表 (CRL) 都可用于检查证书的吊销状态。每种方法都有优点和缺点。

  • OCSP 实时提供证书状态,而 CRL 使用缓存的数据。对于时间敏感的应用程序,OCSP 是首选方法。

  • CRL 检查速度更快,因为证书状态的查找是在 VPN 设备上缓存的信息上完成的。OCSP 需要时间来从外部服务器获取吊销状态。

  • CRL 需要额外的内存来存储从 CRL 服务器接收的吊销列表。OCSP 不需要额外的内存来保存证书的吊销状态。

  • OCSP 要求 OCSP 服务器始终可用。当服务器无法访问时,CRL 可以使用缓存的数据来检查证书的吊销状态。

在 MX 系列和 SRX 系列防火墙上,CRL 是用于检查证书吊销状态的默认方法。

相关文档