协议概述

OCSP是一种相对简单的请求/响应协议,它使得客户端应用程序可以测定所需验证书的状态。一个OCSP客户端发送一个证书状态查询给一个OCSP响应器,并且等待直到响应器返回了一个响应。协议对OCSP客户端和OCSP响应器之间所需要交换的数据进行了描述。 一个OCSP请求包含以下数据:协议版本、服务请求、目标证书标识和可选的扩展项等。OCSP响应器对收到的请求返回一个响应(或是出错信息,或是确定的回复)。OCSP响应器返回出错信息时,该响应不用签名。出错信息包括以下类型:请求编码格式不正确、内部错误、稍后再试、请求需要签名、未授权。

OCSP响应器返回确定的回复时,该响应必须进行数字签名。一个确定的回复信息由以下组成:版本号、响应器名称、对每一张被请求证书的回复、可选扩展项、签名算法对象标识和签名值。在对每一张被请求证书的回复中包含有证书状态值:正常、撤消、未知。“正常”状态表示这张证书没有被撤消;“撤消”状态表示证书已被撤消;“未知”状态表示响应器不能判断请求的证书状态。

协议数据描述

请求消息描述:一个OCSP请求包括请求信息和对请求信息的签名,其形式化描述如下所示:

OCSPRequest::=SEQUENCE{

tbsRequestTBSRequest,

optionalSignature[0]EXPLICITSignatureOPTIONAL}

请求信息的签名是可选的。

如果响应器被设置为接收有签名的请求,而实际收到的请求没有签名时,响应器就返回一个“需要签名(sigRequired)”的出错信息。请求信息包括版本号、请求者名称(可选)、请求列表和可选的扩展项,如下所示:

TBSRequest::=SEQUENCE{

version[0]EXPLICITVersionDEFAULTv1,

requestorName[1]EXPLICITGeneralNameOPTIONAL,

requestListSEQUENCEOFRequest,

requestExtensions[2]EXPLICITExtensionsOPTIONAL}

Request::=SEQUENCE{

reqCertCertID,

singleRequestExtensions[0]EXPLICITExtensionsOPTIONAL}

一个OCSP请求可查询多个证书的状态。在每一个请求查询的证书标识中包含了Hash算法标识、证书颁发者(CA)名称Hash值、证书颁发者(CA)公钥Hash值和证书序列号。其形式化描述如下所示:

CertID::=SEQUENCE{

hashAlgorithmAlgorithmIdentifier,

issuerNameHashOCTETSTRING,

issuerKeyHashOCTETSTRING,

serialNumberCertificateSerialNumber}

响应消息描述：一个OCSP响应通常包括响应状态和响应字节。如果响应状态为某一种出错情况,那么响应字节将不被设置。其形式化描述如下所示:

OCSPResponse::=SEQUENCE{

responseStatusOCSPResponseStatus,

responseBytes[0]EXPLICIT ResponseBytesOPTIONAL}

响应状态有六种取值:一种是“成功”,表示响应器对接收到的请求返回一个确定的回复;另外五种为出错信息:请求编码格式不正确(malformedRequest)、内部错误(internalError)、稍后再试(trylater)、请求需要签名(sigRequired)、未授权 (unauthorized)。 如果接受到一个没有遵循OCSP语法规范的请求,响应器返回“请求编码格式不正确”;响应状态为“内部错误”表示 OCSP响应器处于一个不协调的内部状态,请求需要再试,暗示尝试另一个响应器;如果OCSP响应器正在工作,但是不能返回被请求证书的状态,那么“稍后再试”响应能被用来表示服务存在,但暂时不能响应;当服务器需要客户端签名请求后才能产生一个响应时,“请求需要签名”将被返回;当客户端未被授权允许向这台响应器发送请求时,“未授权”将被返回。 响应字节的值由响应类型标识和一个编码成OCTET字符串的响应信息(此信息由类型标识确定)组成。如下所示:

ResponseBytes::=SEQUENCE{

responseTypeOBJECTIDENTIFIER,

responseOCTETSTRING}

响应信息的值应该是基本OCSP响应 (BasicOCSPResponse)的DER编码。基本OCSP响应的形式化 描述如下所示:

BasicOCSPResponse::=SEQUENCE{

tbsResponseDataResponseData,

signatureAlgorithmAlgorithmIdentifier,

signatureBITSTRING,

certs[0]EXPLICITSEQUENCEOFCertificateOPTIONAL}

签名值(signature)是对响应数据(ResponseData)的签名结果。响应数据包括版本号、响应器标识、响应产生时间、响应列表和可选的扩展项。其形式化描述如下所示:

ResponseData::=SEQUENCE{

version[0]EXPLICITVersionDEFAULTv1,

responderIDResponderID,

producedAtGeneralizedTime,

responsesSEQUENCEOF SingleResponse,

responseExtensions[1] EXPLICITExtensions OPTIONAL}

如果一个OCSP请求中包含多个证书的查询请求,那么响应列表(responses)就列出了请求中所有证书状态的响应。每个证书状态响应(SingleResponse)包含证书标识、证书状态、本次更新时间、下次更新时间(可选)和扩展项,如下所示:

SingleResponse::=SEQUENCE{

certIDCertID,

certStatusCertStatus,

thisUpdateGeneralizedTime,

nextUpdate[0]EXPLICITGeneralizedTimeOPTIONAL,

singleExtensions[1]EXPLICITExtensionsOPTIONAL}

证书状态分为三种:正常(good)、撤消(revoked)、未知 (unknown)。

CertStatus::=CHOICE{

good[0]IMPLICITNULL,

revoked[1]IMPLICITRevokedInfo,

unknown[2]IMPLICITUnknownInfo}