私は、Joel Weise(http://highsecu.free.fr/db/outils_de_securite/cryptographie/pki/publickey.pdf)のPKIの概要のページを盗聴していました。特定の証明書の正当性をチェックするためにLDAP上でOCSPレスポンダを使用する何人かのCAがOCSPサービスをいつ使用するのか、証明書保管庫のLDAPサーバをいつ使用するのか、両方を公開しているとします。公開鍵証明書の検証、LDAPまたはOCSPレスポンダ経由の証明書の預託には何を使用しますか?
このように考えると便利かもしれません。
認証局は証明書失効リスト(CRL)を生成します。 (あなたはCAに直接問い合わせることができますが、秘密鍵(秘密)を公開する危険性があるため、これは悪い考えです)。
これで、CRLはLDAPまたはHTTP経由で利用できるようになります。
OCSPサーバー(または言語に応じて検証機関)もCRLを消費する可能性があります。いったん実行すると、検証(証明書ステータス)要求を処理できます。
応答(OCSP)応答者に事前に署名して転送するオプションがあります(Microsoft以外のサードパーティーなど)。 (複数のOCSPサーバとは対照的に)格納することができます。 (まだ比較的大きな展開があり、ネットワークの可用性、規模、負荷の問題を別のオプションとして持つ場合は考慮してください)。
最後に、証明書ステータスの確認だけでなく、証明書の信頼も確認してください。フェデレーション環境では、上記の補足としてSCVP(Server Certificate Validation Protocol)を検討することができます。