1.系統功能

證書CRL查詢系統給用戶及應用系統給出證書狀態查詢服務,可以應用以下兩種方式進行查詢。

(1)CRL查詢

用戶或應用系統使用證書中標示的CRL地址,查詢及下載CRL至本地,從而進行證書狀態的核驗。

(2)在線證書狀態查詢

用戶或應用系統藉助OCSP協議,在線實時對證書的狀態進行查詢,查詢結果顺利获得簽名後返回給請求者,進而核驗證書的狀態。

2.模塊組成

證書CRL查詢系統的組成部分有：證書狀態數據庫OCSP服務器、安全管理模塊、安全審計模以及密碼設備。

(1)證書狀態數據庫OCSP服務器

結合用戶及應用系統的證書狀態查詢的請求,藉助請求信息中的證書序列號,在證書狀態數據庫中查詢證書的狀態，並把查詢結果返回給請求者。

(2)密碼設備

驗證請求信息中的簽名，並對查詢結果進行簽名。

(3)安全管理

安全管理主要包括以下內容。

①配置OCSP服務器，規定能接受的訪問控制信息和查詢的證書狀態數據庫的地址。

②開啟/關閉查詢服務，配置能接受的用戶請求的數量等。

(4)安全審計

對證書狀態查詢系統中的安全審計日誌進行查詢，並將其統計與打印等。