1.系统功能
证书CRL查询系统给用户及应用系统给出证书状态查询服务,可以应用以下两种方式进行查询。
(1)CRL查询
用户或应用系统使用证书中标示的CRL地址,查询及下载CRL至本地,从而进行证书状态的核验。
(2)在线证书状态查询
用户或应用系统借助OCSP协议,在线实时对证书的状态进行查询,查询结果通过签名后返回给请求者,进而核验证书的状态。
2.模块组成
证书CRL查询系统的组成部分有:证书状态数据库OCSP服务器、安全管理模块、安全审计模以及密码设备。
(1)证书状态数据库OCSP服务器
结合用户及应用系统的证书状态查询的请求,借助请求信息中的证书序列号,在证书状态数据库中查询证书的状态,并把查询结果返回给请求者。
(2)密码设备
验证请求信息中的签名,并对查询结果进行签名。
(3)安全管理
安全管理主要包括以下内容。
①配置OCSP服务器,规定能接受的访问控制信息和查询的证书状态数据库的地址。
②开启/关闭查询服务,配置能接受的用户请求的数量等。
(4)安全审计
对证书状态查询系统中的安全审计日志进行查询,并将其统计与打印等。
