Содержание
Преимущества протокола OCSP
Использование службы OCSP для распространения информации о статусах сертификатов клиентам имеет следующие преимущества по сравнению со списками отзыва сертификатов (CRL):
- Актуальность информации о статусе. Служба может получать информацию об изменении статусов сертификатов в реальном времени и распространять её клиентам.
- Меньший объём OCSP-ответа. Объём ответа службы фиксирован и сравнительно мал, тогда как списки отзыва сертификатов могут иметь большой объём. Это позволяет уменьшить время реакции приложений и может иметь решающее значение при создании долговременного архива документов с ЭЦП для уменьшения объёма единицы хранения.
Как использовать КриптоПро OCSP
Линейка продуктов КриптоПро OCSP позволяет организовать сервер OCSP и встроить функциональность проверки статусов сертификатов по протоколу OCSP в различные приложения.
Пример использования продуктов КриптоПро OCSP представлен на рисунке. Групповые политики в домене Windows могут использоваться для установки и настройки КриптоПро OCSP Client и КриптоПро Revocation Provider, но необязательно.
КриптоПро Revocation Provider
Инструментарий разработчика КриптоПро OCSP SDK из линейки продуктов КриптоПро OCSP позволяет реализовать функциональность клиента протокола OCSP с использованием возможностей КриптоПро OCSP Client. Для этого необходимо запрограммировать соответствующие функции в приложении.
КриптоПро Revocation Provider, будучи установлен в системе, встраивается в CryptoAPI и тем самым обеспечивает проверку статусов сертификатов во всех приложениях по протоколу OCSP, причём менять что-либо в самих приложениях не требуется. КриптоПро Revocation Provider вызывается автоматически каждый раз, когда приложение осуществляет действия с сертификатом.
Страница для печати
Новости