OCSP

OCSP (Online Certificate Status Protocol) – протокол о статусе онлайн-сертификата, регламентированный стандартом RFC 6960, позволяет ФПСУ-TLS определять состояние (отзыв) сертификата TLS-клиента или сертификата сервера, получая ответ о состоянии сертификата от OCSP ответчика.

ФПСУ-TLS при установлениии соединения с TLS-клиентом или сервером отправляет запрос о состоянии (отзыве) сертификата OCSP ответчику. В случае положительного ответа от OCSP ответчика, сертификат исправен или проверен, устанавливается TLS-соединение между TLS-клиентом и ФПСУ-TLS или HTTPS сервером и ФПСУ-TLS.

Предварительно на ФПСУ-TLS должны быть установлены собственный сертификат и корневой сертификат УЦ, которым подписан собственный сертификат ФПСУ-TLS, на TLS-клиенте должны быть установлены клиентский личный сертификат и корневой сертификат УЦ, которым подписан личный сертификат клиента.

Для перехода в интерфейс управления OCSP, выполните команду «Ключи и Сертификаты» меню установки параметров ФПСУ-TLS.

В открывшемся окне, «Параметры аутентификации, ключи, сертификаты», выполните команду «OCSP»:

Откроется окно «Настройка OCSP», в котором можно настроить следующие параметры:

Адрес OCSP ответчика – указывается URL-адрес или IP-адрес OCSP ответчика. Если порт ответчика отличен от порта по умолчанию, 80, то указывается дополнительно порт.

Использовать адрес из AIA – AIA (Authority Information Access) расширение сертификата, где указывается адрес ответчика OCSP для проверки этого сертификата. При включении флага проверяется отзыв сертификата по AIA. Если адрес OCSP ответчика задан, сначала отзыв проверяется по указанному адресу, затем в случае, если OCSP ответчик не отвечает, проверяется по AIA.

Время хранения в кеше (мин) – ответ, полученный от OCSP ответчика, ФПСУ-TLS хранит в кеше указанное время.

Использовать OCSP – установленный флаг включает проверку отзыва сертификатов на OCSP ответчике.