Zum Hauptinhalt springen

OCSPResponder

OCSPResponder

Echtzeit-Validierung von Zertifikaten – zuverlässig, schnell und hochverfügbar

OCSPResponder ist ein leistungsstarker, RFC 6960-konformer OCSP Responder für Umgebungen, in denen Zertifikatsvalidierung schnell, zuverlässig und einfach zu betreiben sein muss. Er unterstützt sowohl Offline- als auch Online-Signaturmodi, verarbeitet beliebig viele Issuing CAs in einer einzigen Installation und wird als einzelne, abhängigkeitsfreie Binary ausgeliefert.

Ob Sie Tausende von OCSP-Anfragen pro Sekunde in einer großen PKI bedienen oder standardkonforme Zertifikatsstatusdienste in eine bestehende CA-Infrastruktur integrieren möchten — OCSPResponder erledigt das mit minimalem Ressourcenbedarf und ohne Umstände.

Anfragen

OCSPResponder: Highlights

Echtzeit-Abfragen: Antwortzeiten im Millisekundenbereich – optimiert für hohe Last und kurze Antwortzyklen.

Immer verfügbar: Hochverfügbare Architektur mit Failover-Optionen und Lastverteilung.

Vertrauenswürdige Informationen: Signierte OCSP-Responses gemäß RFC 6960 stellen sicher, dass Abfragende den Statusmeldungen vertrauen können.

Features

  • Zwei Betriebsmodi — Wählen Sie zwischen dem Offline-Modus mit vorberechneten Responses für maximalen Durchsatz oder dem Online-Modus mit vollständiger Nonce-Unterstützung für Echtzeit-Zertifikatsstatusvalidierung.

  • Multi-CA in einer Instanz — Eine einzelne OCSPResponder-Installation liefert OCSP Responses für beliebig viele Issuing CAs, jede mit eigenen dedizierten OCSP-Signer-Zertifikaten und -Schlüsseln.

  • Universelle Datenquellenkompatibilität — Importieren Sie Zertifikatsstatus über CRL von praktisch jedem CA-Produkt, oder greifen Sie direkt auf eine OpenXPKI-Datenbank zu — für nahtlose Integration mit der OpenXPKI Enterprise Edition.

  • HSM-Unterstützung — Schützen Sie OCSP-Signer-Schlüssel mit Hardware-Sicherheitsmodulen über PKCS#11, oder verwenden Sie Software-Schlüssel auf der Festplatte oder in der Datenbank.

  • Einzelne Binary, keine Abhängigkeiten — Verfügbar für Linux, Windows und macOS. Ein Docker-Image steht für containerisierte Deployments ebenfalls bereit.

  • Extreme Performance — Tausende Anfragen pro Sekunde selbst auf bescheidener Hardware, mit In-Memory-Caching der Responses und einem Speicherbedarf von nur 100–200 MB unter hoher Last.

Use Cases

  • KRITIS & Industrie: Verlässliche Zertifikatsstatusinformationen für Zero-Trust, IoT-Umgebungen und kritische Infrastruktur. Wenn Compliance-Vorgaben oder Richtlinien vorschreiben, dass OCSP-Signaturschlüssel in einem Hardware-Sicherheitsmodul gespeichert werden müssen, liefert OCSPResponder mit nativer PKCS#11-Unterstützung. In Kombination mit dem Offline-Modus wird auf die Signaturschlüssel nur während des periodischen Vorberechnungsschritts zugegriffen, was die Angriffsfläche weiter reduziert.

  • Behörden & E-Government: Zertifikatsprüfung für elektronische Signaturen, Bürgerportale, Dokumentenverarbeitung.

  • Mobile Device Management / Endpoint-Security: Validierung, ob Client-Zertifikate noch gültig, gesperrt oder kompromittiert sind.

  • OpenXPKI-Begleiter — Für Organisationen, die die OpenXPKI Enterprise Edition einsetzen, bietet OCSPResponder einen maßgeschneiderten OCSP-Dienst, der den Zertifikatsstatus direkt aus der OpenXPKI-Datenbank liest. Kein CRL-Export-/Import-Zyklus nötig, keine Synchronisierungsverzögerungen — nur ein direkter, stets aktueller Datenpfad.

  • Herstellerunabhängiger OCSP für bestehende CA-Infrastruktur — Sie betreiben bereits ein CA-Produkt, das CRLs veröffentlicht, aber keinen performanten OCSP-Dienst bietet? OCSPResponder lässt sich über CRL-Import anbinden und ergänzt RFC 6960-konforme OCSP-Fähigkeiten — unabhängig davon, welche CA-Software die Zertifikate ausgestellt hat.

Details

Deployment — OCSPResponder wird als einzelne, statisch gelinkte Binary ohne externe Laufzeitabhängigkeiten ausgeliefert. Vorgefertigte Binaries stehen für Linux, Windows und macOS zur Verfügung. Ein Docker-Image wird für containerbasierte Deployments und Orchestrierungsplattformen bereitgestellt.

Architektur des Offline-Modus — Im Offline-Modus wird OCSPResponder in zwei Komponenten aufgeteilt. Der Generator ist ein Kommandozeilenwerkzeug, das periodisch ausgeführt wird (z. B. über Cron oder einen Scheduler). Er liest die vollständigen Zertifikatsstatusdaten, berechnet für jeden Eintrag eine signierte OCSP Response mit dem zugehörigen OCSP-Signer-Schlüssel und speichert die Ergebnisse in der Datenbank. Der Server ist ein dauerhaft laufender Netzwerkdienst, der eingehende OCSP-Anfragen entgegennimmt, Issuing CA und Seriennummer aus jeder Anfrage extrahiert, die entsprechende vorberechnete Response nachschlägt und an den Client zurückliefert. Vorberechnete Responses können konstruktionsbedingt keine Nonce enthalten.

Architektur des Online-Modus — Im Online-Modus wird nur die Serverkomponente verwendet. Sie nimmt OCSP-Anfragen auf einem Netzwerk-Socket entgegen und delegiert jede Anfrage an den internen Signer, der den Zertifikatsstatus aus der Datenbank ermittelt und eine signierte OCSP Response erzeugt. Enthält die Client-Anfrage eine Nonce, wird diese in die Response eingebettet.

Performance — OCSPResponder ist auf Geschwindigkeit ausgelegt. Im Offline-Modus werden vorberechnete Responses im Speicher gecacht, was Lookup-Zeiten im Sub-Millisekundenbereich ermöglicht. Selbst auf bescheidener Hardware erreicht der Durchsatz problemlos Tausende von Anfragen pro Sekunde. Der Speicherverbrauch liegt typischerweise im Bereich von 100–200 MB, selbst unter anhaltend hoher Last — der Ressourcenverbrauch ist in den meisten Deployment-Szenarien vernachlässigbar.

Monitoring — OCSPResponder stellt Performance- und Betriebsmetriken im Prometheus-Format bereit und ermöglicht so die Integration in gängige Monitoring- und Alerting-Stacks wie Prometheus/Grafana.

Schlüsselspeicheroptionen — Private OCSP-Signer-Schlüssel können als Dateien auf der Festplatte gespeichert, in die OCSPResponder-Datenbank importiert oder in einem über PKCS#11 zugänglichen Hardware-Sicherheitsmodul vorgehalten werden. Pro Issuing CA können mehrere Signer-Zertifikate konfiguriert werden; OCSPResponder wählt automatisch den aktuellsten gültigen Signer für die Response-Erzeugung aus.

Ausfallsicherheit: Unterstützung von gängigen Load Balancern und Reverse Proxies.

Lizenz

  • Die Basislizenz umfasst den OCSPResponder selbst, die Produktdokumentation und die nötigen Lizenzdateien.

     

     

Zusatzoptionen

  • HSM-Support

Wartung und Support

Support

Sie möchten mehr über unsere Produkte erfahren
oder eine Demo anfordern?

Jetzt Kontakt aufnehmen

PKI

Infrastruktur

Use-Cases

Contact

  • Werner-Heisenberg-Str. 8
  • 85254 Sulzemoos
  • Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.
  • +49 8135 314 000-0
© Whiterabbitsecurity