我的问题是,当我使用 OCSP 时,是否仍需要在下属 CA 上配置以下 AIA 位置:
http://SERVERFQN/DIRECTORY/<Serverdnsname>_<Caname><Certificatename>.crt
启用标志“包含在已颁发证书的 AIA 中”。
或者http://SERVERFQDN/OCSPOCSP 标志就足够了?
答案1
两者提供不同的服务,具体描述如下RFC 5280 第 4.2.2.1 节
id-ad-caIssuer是一个扩展,允许客户端在服务器配置不正确时查找 CA 证书,从而允许它们构建证书链。服务器应在握手期间将完整链(减去根证书)发送给客户端,如RFC 5246 第 7.4.2 节,但如果没有,此扩展可以提供帮助。
id-ad-ocsp扩展将客户端指向 OCSP 响应器,客户端可以使用它来检查证书的撤销状态。