Fy nghwestiwn yw wheter ai peidio, mae angen i mi ffurfweddu'r lleoliad AIA canlynol o hyd ar fy is-CA pan fyddaf yn defnyddio OCSP:
http://SERVERFQN/DIRECTORY/<Serverdnsname>_<Caname><Certificatename>.crt
Gyda'r faner "cynnwys yn AIA tystysgrifau a gyhoeddwyd" wedi'i alluogi.
Neu a fydd http: // SERVERFQDN / OCSP
gyda baner OCSP yn ddigonol?
Эти два сервиса предоставляют разные услуги, описанные в RFC 5280, раздел 4.2.2.1
id-ad-caIssuer
- это расширение, которое позволяет клиентам находить сертификат CA, когда серверы были неправильно настроены, тем самым позволяя им создавать цепочку сертификатов. Серверы должны отправлять полную цепочку (без корневого сертификата) клиенту во время рукопожатий, как указано в RFC 5246, раздел 7.4.2 , но если они этого не делают, помогает это расширение.
id-ad- ocsp
указывает клиентов на ответчик OCSP, который они могут использовать для проверки статуса отзыва сертификата.