Consulta en línea de Estado de Certificados OCSP
Validación en línea de estado de Certificados
La VA permite determinar de forma online el estado actual de cualquier certificado emitido por la CA Subordinada, a través del protocolo OCSP, conforme al estándar [RFC2560], evitando así consultar la última CRL emitida por la CA Subordinada.
Las respuestas OCSP están firmadas con la clave privada correspondiente al certificado de firma de respuestas OCSP de la VA
Servicio OCSP
El servicio OCSP de los equipos de la VA procesa las peticiones OCSP enviadas, sobre HTTP, por las aplicaciones y los servicios que consultan por OCSP el estado de revocación de certificados emitidos por la CA Subordinada (por ejemplo, para verificar firmas o para incorporar las respuestas OCSP en firmas), enviando las correspondientes respuestas OCSP que contienen los correspodientes estados de revocación de los certificados solicitados, conforme al estándar [RFC2560].
Las respuestas OCSP están firmadas con la clave privada correspondiente al certificado de firma de respuestas OCSP de la VA
URI de acceso al servicio OCSP
La URI HTTP de acceso al servicio OCSP será igual al valor siguiente:
http://ocsp.icert.fje.gob.ec
Validación OCSP mediante openssl
El siguiente es un comando de ejemplo ejecutado utilizando openssl, aqui se muestra como validar un certificado por línea de comandos:
openssl ocsp -issuer cj-subca-prod.pem -cert usuarioICERT.pem -url http://ocsp.icert.fje.gob.ec
en donde:
cj-subca-prod.pem es el certificado en formato PEM de la CA subordinada
usuarioICERT.pem es el certificado del usuario final que queremos validar
otro ejemplo:
openssl ocsp -issuer cj-subca-prod.pem -serial 0X4E4042832295322C -url http://ocsp.icert.fje.gob.ec -text
en donde:
cj-subca-prod.pem es el certificado en formato PEM de la CA subordinada
0X4E4042832295322C es el número de serie del certificado del usuario final
Este último ejemplo nos mostrará con mayor detalle la información de los certificados que estamos validando, en cualquiera de los dos casos se presentará una línea similar a la siguiente donde se encuentrá el estado de los certificados
Cert Status: unknown cuando el servidor OCSP no conoce sobre el certificado que estamos consultando
Cert Status: good respueta certificado válido
Cert Status: revoke respuesta certificado revocado