如何解决如何为私有 CA 设置 OCSP 服务器并且查询很少
我已经生成了我的私有根 CA,然后是用于签署证书的中间 CA,而不是直接生成 RootCA。现在我想设置 OCSP 服务器,因此有一些查询。
- 由于我使用的是中间 CA,我是否应该使用 Int CA 来生成 CSR 并生成 CRT?还是应该使用 Root 来生成 OCSP crt? 我计划提供大约 400-500 台服务器证书,因此 想知道一台 ocsp 服务器是否足以满足我的检查需求 撤销? 谁能告诉我是否可以直接使用nginx 设置ocsp服务器还是只需要我们openssl ocsp api?
解决方法
您通常会使用专用的 Int CA 来生成 CSR。根就像一个冬青圣杯,应该保存在一个最好的离线保存位置。 一旦OCSP Server 可以处理它,只要您不需要HA。但重要的不是服务器数量,而是您期望的客户端数量,因为并非所有客户端都可以处理 OCSP-Stappling。您确实需要 openssl api,因为 nginx 不会处理开箱即用的加密内容。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。