ADCS 온라인 응답자 (OCSP)가 실시간이 아닙니다

Question

내 연구실의 동일한 컴퓨터에 AD, AD CS 및 OCSP를 설치하고 구성했습니다. 그런 다음 C#을 사용하여 OCSP 클라이언트가있어 해지 확인 요청을 보내고 로컬 컴퓨터에 설치된 특정 인증서에 대한 응답을 구문 분석 할 수 있습니다. C# 코드는 Bouncy Castle 어셈블리 (http://www.bouncycastle.org/csharp/)를 사용하여 작성되었습니다.

문제는 제가 인증서를 발급하여 AD CS에서 해지하고 CRL을 게시 한 경우입니다. 델타 CRL을 사용하는 경우 내 OCSP 클라이언트는 AD CS -> OCSP -> 배열 구성에서 해지 데이터 새로 고침을 클릭 할 때까지이 인증서가 여전히 양호하다고 말합니다.

내가 LDAP를 통해 내 로컬 CRL에 OCSP 내 해지 구성의 프로 바이더를 구성한

: // XXXX와

은 또한 5 분 당 CRL을 새로 내 해지 공급자를 지정했습니다.

OCSP를 "실시간"으로 설정할 수있는 방법이 있습니다. 즉, 인증서를 해지 한 후 OCSP 클라이언트가 해지되었음을 알 수 있습니다. 또는 내 OCSP에서 수동으로 Refresh Data를 클릭하는 대신 CRL을 자동으로 가져올 수 있습니다.

Answer 1

좋아요. "실시간"이 아니더라도 가능한 한 실시간으로 만드는 법을 마침내 얻었습니다. OCSP 서비스에는 자체 캐시가 있으며 인증서의 해지 상태는 CRL이 만료 될 때까지 캐시됩니다. 내 연구실에서 내 CRL 유효 기간은 2 일이었습니다. 이는 인증서를 해지하고 CRL을 게시하고 OCSP를 매 5 분마다 새로 고침 했음에도 불구하고 원본 상태가 2 일 후에 OCSP 캐시에 있음을 의미합니다. 그러나 해지 데이터 새로 고침을 클릭하면 OCSP가 모든 캐시를 지우고 응용 프로그램 풀을 다시 시작합니다.

해결 방법은 먼저 OCSP 서비스에서 NONCE 확장을 사용하도록 설정해야합니다. OCSP 요청을 보내면 NONCE에서 임의의 정보를 얻을 수 있습니다. 그리고 OCSP 서비스에서 요청에 ONONCE 정보가 있으면 캐시를 사용하지 않습니다. 따라서 5 분이 지나면 내 해지 데이터가 새로 고쳐집니다.

Answer 2

"Windows 2012 ADCS 온라인 응답자"에서 같은 문제를 해결했습니다. "웹 프록시 캐시 항목을"에 으로 변경하고 "온라인 응답자"서비스를 다시 시작하고 이제는 "실시간"동작을합니다.

테스트 도중, OCSP 웹 프록시 캐시의 항목이 OCSP와 연결된 OCSP 관련 CRL의 수명과 동기화 된 수명과 같은 행동을했는지 확인했습니다. 필드 "다음 CRL 게시"CRL. Windows ADCS Online Responder - Define web proxy cache entries expiration delay