1.系统功能

证书CRL查询系统给用户及应用系统给出证书状态查询服务,可以应用以下两种方式进行查询。

(1)CRL查询

用户或应用系统使用证书中标示的CRL地址,查询及下载CRL至本地,从而进行证书状态的核验。

(2)在线证书状态查询

用户或应用系统借助OCSP协议,在线实时对证书的状态进行查询,查询结果顺利获得签名后返回给请求者,进而核验证书的状态。

2.模块组成

证书CRL查询系统的组成部分有：证书状态数据库OCSP服务器、安全管理模块、安全审计模以及密码设备。

(1)证书状态数据库OCSP服务器

结合用户及应用系统的证书状态查询的请求,借助请求信息中的证书序列号,在证书状态数据库中查询证书的状态，并把查询结果返回给请求者。

(2)密码设备

验证请求信息中的签名，并对查询结果进行签名。

(3)安全管理

安全管理主要包括以下内容。

①配置OCSP服务器，规定能接受的访问控制信息和查询的证书状态数据库的地址。

②开启/关闭查询服务，配置能接受的用户请求的数量等。

(4)安全审计

对证书状态查询系统中的安全审计日志进行查询，并将其统计与打印等。