OCSP代表在线证书状态协议，证书颁发机构使用它来检查X.509数字证书的撤销状态。在此博客中，我们回答了有关OCSP的一些最常见的问题，包括它的工作原理、证书颁发机构和证书验证机构的角色，以及如何通过CRL检查证书。 

OCSP如何工作？

当用户请求证书有效性时，OCSP请求会发送到OCSP响应器。该响应器会使用受信任的证书颁发机构检查特定证书，然后发回OCSP响应，响应内容为“有效”、“已撤销”或“未知”。

什么是证书颁发机构以及它们如何运作？ 

 证书颁发机构（CA）是数字信任基础设施的核心部分，它颁发和管理可用于验证公钥主体身份的数字证书。认证机构是组织IT安全架构的一部分，由内部安全团队或信任服务提供商(TSP)运营。认证机构使用公钥基础设施(PKI)X.509证书来验证公钥是否与用户身份匹配。数字证书包含：

业主姓名

所有者的公钥

发证CA的名称

证书有效期（有效期自、有效期至） 

附加可选信息（例如，证书的用途、在哪里检查证书的吊销状态等）

证书颁发机构对上述数据进行数字签名，以防止进一步修改。CA使用其私钥签署数字证书，任何拥有CA公钥的人都可以验证数字证书上的签名，并信任该信息，因为它无法被修改。签名者的身份证明至关重要，因此为了从证书颁发机构获得数字证书，您需要提供身份证明（无论是面对面还是通过在线背景调查），然后才能颁发证书。在欧盟，eIDAS认证的CA被称为合格证书颁发机构，由合格信任服务提供商(QTSP)运营。

什么是证书验证机构？

 Ascertia的ADSSOCSP服务器是一种先进的x.509证书验证机构服务器，符合IETFRFC6960标准，通过FIPS201认证（APL#1411），并获准由美国联邦机构用于HSPD-12实施。ADSSOCSP服务器是一个强大的验证中心解决方案，能够同时为多个证书颁发机构(CA)提供OCSP证书验证服务。每个单独的CA都支持简单或复杂的验证策略，并且ADSSOCSP服务器提供所有交易的详细历史记录以及易于使用的OCSP请求和响应查看器。这对于托管服务基础设施或企业系统内的计费和/或故障排除至关重要。

如何检查我的CRL证书？

CRL代表证书吊销列表。CRL包含来自证书颁发机构的已吊销数字证书的列表。证书可能因多种原因被吊销-有人报告其智能卡或USB令牌丢失，签名者可能已离开公司并且不再被授权签名，或者证书可能已被泄露。CRL上的数字证书不应再受信任。CRL提供了一种确认数字证书状态的方法，即向证书颁发机构签名并维护的列表中添加证书序列号。这些列表在部署规模较大时会不断增长，客户端在检查撤销时需要花费一些时间下载。对于大型部署，OCSP比CRL效率更高。OCSP服务器使用CRL来指示证书是否被撤销-在此模型中，OCSP必须按计划刷新CRL，以确保提供最新的撤销信息。高级OCSP产品使OCSP能够直接查询CA的数据库。这提供了实时撤销和证书白名单功能。证书白名单为最终实体提供了额外的保证，并确认CA确实颁发了证书。与CRL检查相比，OCSP请求包含的数据要少得多，因此更易于网络处理，因为系统不必在检查证书时下载每个撤销签名的最新列表。