У меня вопрос, нужно ли мне все еще настраивать следующее расположение AIA в моем подчиненном ЦС, когда я использую OCSP:
http://SERVERFQN/DIRECTORY/<Serverdnsname>_<Caname><Certificatename>.crt
При включенном флаге «включать в AIA выданных сертификатов».
Или будет http://SERVERFQDN/OCSP
с флагом OCSP хватит?
Эти два предоставляют разные услуги, описанные в RFC 5280, раздел 4.2.2.1
id-ad-caIssuer
- это расширение, которое позволяет клиентам находить сертификат CA, когда серверы были неправильно настроены, тем самым позволяя им создавать цепочку сертификатов. Серверы должны отправлять полную цепочку (без корневого сертификата) клиенту во время рукопожатий, как указано в RFC 5246, раздел 7.4.2, но если они этого не делают, это расширение помогает.
id-ad-ocsp
extension указывает клиентам на ответчик OCSP, который они могут использовать для проверки статуса отзыва сертификата.