跳至主要内容

在 NAC 环境中利用 OCSP 和 CRL 自动执行证书吊销

本技术参考指南为 IT 经理和网络架构师提供了在网络准入控制(NAC)环境中自动执行证书吊销的全面解析。它探讨了 OCSP 和 CRL 之间的架构权衡,提供了与供应商无关的实施指南,并概述了实时策略执行对业务的影响。

📖 6 分钟阅读📝 1,437 🔧 2 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
在 NAC 环境中通过 OCSP 和 CRL 自动执行证书吊销 Purple 技术简报 - 约 10 分钟 --- 介绍与背景 - 约 1 分钟 欢迎阅读 Purple 技术简报系列。我是您的主持人,今天我们将深入探讨自动证书吊销的机制 - 特别是在网络访问控制(NAC)环境中 OCSP 和 CRL 的工作原理,以及为什么正确处理这一点是企业 WiFi 部署中最容易被忽视的安全决策之一。 如果您正在运营一家酒店连锁、零售物业、体育场馆或拥有成百上千台联网设备的公共部门网络,证书生命周期管理绝非可有可无。它是能够在实时强制执行策略的网络,与默默容纳已吊销凭证(本应在数周前就被切断连接的设备)的网络之间的本质区别。 我们将介绍技术架构,演练两个真实的部署场景,最后以您的团队在进行生产环境部署之前应该提出的问题来结束。 让我们开始吧。 --- 技术深挖 - 约 5 分钟 首先,让我们明确我们要解决的问题。在任何基于 IEEE 802.1X 身份验证的网络中(这是企业 WiFi、有线 NAC 以及大多数现代访客访问架构的标准基石),设备使用凭证或证书进行身份验证。证书更为优选,因为它们不依赖共享密钥,是与设备绑定的,并且可以通过 SCEP 等协议与 MDM 平台无缝集成。但是证书是有生命周期的。它们会过期、会泄露,设备也会退役。当这些情况发生时,您需要一种机制来告知您的网络基础设施:该证书不再有效,停止信任它。 这种机制有两种形式:CRL(证书吊销列表)和 OCSP(在线证书状态协议)。 让我们从 CRL 开始。证书吊销列表正如其字面意思 - 它是由您的证书颁发机构(CA)发布的已签署列表,其中包含已吊销的每个证书序列号。您的 NAC 基础设施(通常是 FreeRADIUS、Cisco ISE 或 Aruba ClearPass 等 RADIUS 服务器)会定期从 CRL 分发点(通常只是一个 HTTP 或 LDAP 端点)下载此列表。RADIUS 服务器在本地缓存该列表,并在 EAP-TLS 握手期间将传入的证书序列号与该列表进行比对。 CRL 的运行优势在于简单性和离线抗破坏能力。下载列表后,即使您的 CA 无法访问,吊销检查也能正常工作。缺点是延迟。如果您在上午 9 点吊销了一个证书,而您的 CRL 刷新间隔是 24 小时,那么该设备在下一次计划下载之前仍然可以进行身份验证。在高安全性的环境(如医院、金融服务后台、政府网络)中,这个时间窗口是无法接受的。OCSP 解决了延迟问题。您的 RADIUS 服务器不再维护本地缓存列表,而是针对需要验证的每个证书,向 OCSP 响应程序(位于您的 CA 前端的一项服务)发送实时查询。响应程序会返回以下三个答案之一:Good(有效)、Revoked(已吊销)或 Unknown(未知)。整个交换过程是在 EAP-TLS 握手期间内联进行的,在配置良好的基础设施上通常用时不超过 100 毫秒。 OCSP 的权衡在于对可用性的依赖。如果您的 OCSP 响应程序宕机,或者由于网络分区导致您的 RADIUS 服务器无法访问它,您需要做出策略决策:是选择故障开放(允许继续进行身份验证),还是故障关闭(在可访问响应程序之前拒绝访问)?故障开放可维持正常运行时间,但会产生安全漏洞。故障关闭可保持安全态势,但在基础设施发生故障期间可能会将合法用户拒之门外。 还有第三个值得了解的选项:OCSP 装订(OCSP Stapling)。在这种模式下,证书持有者(即客户端设备)会定期从响应程序获取签名的 OCSP 响应,并将其附加到 TLS 握手中。RADIUS 服务器验证装订的响应,而不是自己进行 OCSP 查询。这减轻了 OCSP 响应程序的负载,消除了向外部服务泄露证书序列号的隐私顾虑,并提高了弹性。缺点是并非所有 EAP 请求方都支持装订,因此在依赖它之前,您需要验证客户端兼容性。 那么,这如何融入 NAC 架构中呢?您的 NAC 策略引擎 - 无论是 Cisco ISE、Aruba ClearPass、Juniper Mist,还是基于 FreeRADIUS 和 PacketFence 构建的开源堆栈 - 都介于请求方和网络之间。当设备尝试连接时,RADIUS 服务器接收 Access-Request,进行 EAP-TLS 协商,验证客户端证书链,通过 OCSP 或 CRL 检查吊销状态,然后发布带有 VLAN 分配的 Access-Accept,或者发布 Access-Reject。 自动化部分体现在两个层面。首先,在证书颁发层:您的 MDM 平台(Jamf、Intune、Workspace ONE)使用 SCEP 自动为托管设备配置证书。当设备注销登记或退役时,MDM 会触发对 CA 的吊销调用,CA 会更新 CRL 并通知 OCSP 响应程序。其次,在 NAC 执行层:您的 RADIUS 服务器配置为按定义的计划查询 OCSP 或刷新其 CRL 缓存,以确保吊销决定在无需人工干预的情况下传播到访问策略。这里的关键集成点是 CA 到 NAC 的通信管道。在一个设计良好的部署中,吊销是一个完全自动化的链条:MDM 停用设备,触发 CA 吊销,CA 更新 OCSP 响应程序并发布新的 CRL,RADIUS 服务器接收更改 - 无论是通过 OCSP 立即接收,还是在下一个 CRL 刷新窗口内接收 - 并在设备下次尝试身份验证时拒绝其访问。 --- 实施建议和常见陷阱 - 约 2 分钟 让我为您提供一些实用指导,以防止部署出现偏差。 第一:在选择机制之前,先定义您对吊销延迟的容忍度。如果您运行的是酒店宾客 WiFi 网络,其主要风险是已停用的员工设备,那么 4 小时的 CRL 刷新间隔可能没问题。如果您运行的是医疗保健网络,其中受损设备可能会访问患者数据,那么您会希望使用具有故障关闭(fail-closed)策略和高可用性响应程序集群的 OCSP。 第二:不要在生产环境中运行单个 OCSP 响应程序。至少部署两个,放在负载均衡器后面,并进行健康监控。导致故障关闭行为的 OCSP 响应程序故障所产生的支持工单,速度几乎比任何其他基础设施故障都要快。 第三:注意您的 CRL 大小。在大型部署中(我们指的是成千上万个证书),CRL 文件可能会增长到几兆字节。RADIUS 服务器每小时通过 WAN 链路下载一个 5MB 的 CRL,是一个迟早会发生的吞吐量问题。考虑使用增量 CRL(仅包含自上次完整 CRL 以来的更改),或在高容量环境中迁移到 OCSP。 第四:定期测试您的吊销管道。仅配置 OCSP 并假设其正常工作是不够的。自动化进行每月测试:颁发证书、吊销证书、尝试身份验证、验证拒绝。如果您的监控无法捕获发生故障的 OCSP 响应程序,那么您的吊销机制就只是摆设。 第五:将您的证书有效期与您的吊销策略对齐。短期证书(24 到 72 小时)可以缩短受损凭证的暴露窗口,并可以完全减少您对吊销基础设施的依赖。这是行业发展的方向,值得在新的部署中进行评估。 --- 快速问答 - 约 1 分钟 问:我可以同时使用 OCSP 和 CRL 吗? 可以。大多数 RADIUS 实现都支持回退链:首先尝试 OCSP,如果响应程序无法访问,则回退到 CRL。这使您在正常情况下获得实时检查,并在发生故障时获得离线弹性。 问:Purple 的宾客 WiFi 平台是否与基于证书的 NAC 集成? Purple 的平台在访客访问层运行,处理 Captive Portal 身份验证、数据捕获和分析。对于运行带有证书验证的 802.1X 的企业员工网络,Purple 会与底层网络基础设施 - 接入点、控制器和 RADIUS 服务器进行集成,而不是替换证书管理堆栈。访客和员工网络通常是隔离的,每个网络都采用适合的身份验证机制。 问题:合规角度的要求是什么? PCI-DSS 4.0 要求对持卡人数据环境的访问必须使用强身份验证。GDPR 要求采取适当的技术措施来保护个人数据。基于证书的 802.1X 结合自动撤销可以同时满足这两个框架的要求 - 前提是您能够证明撤销是及时且经过测试的。您的审计追踪需要显示证书何时被撤销,以及该撤销何时传播到网络执行端。 --- 总结和后续步骤 - 约 1 分钟 综上所述:在 NAC 环境中自动执行证书撤销是一个三层结构的问题。您需要一个支持自动撤销触发器的 CA、一个高可用且大小合适的 OCSP 响应程序或 CRL 分发点,以及一个配置为将撤销状态作为其访问策略一部分来执行的 RADIUS 服务器。 在 OCSP 和 CRL 之间的选择并非二选一 - 这是一个风险承受能力的决策,应根据您环境的安全要求、网络拓扑和运营成熟度来做出。 如果您正在构建或审查 NAC 部署,并希望了解 Purple 的访客 WiFi 和分析平台如何融入更广泛的网络架构,节目简报中的链接将带您访问相关的技术指南。 感谢收听。我们下期简报再见。 --- 脚本结束

header_image.png

执行摘要

对于管理高密度环境(例如 酒店住宿 场所、 零售 网点和公共部门部署)的企业 IT 总监和网络架构师而言,证书生命周期管理是一道至关重要的安全防线。虽然 IEEE 802.1X 为企业和 BYOD 设备提供了强大的身份验证,但在发生泄露之前,撤销信任的机制往往容易被忽视。

在网络准入控制(NAC)环境中,通过联机证书状态协议(OCSP)和证书撤销列表(CRL)自动执行证书撤销,可以弥补终端设备报废与网络策略执行之间的鸿沟。本指南探讨了自动撤销的架构机制,并对比了 OCSP 的实时处理能力与 CRL 的离线恢复能力。

通过集成移动设备管理(MDM)平台、证书颁发机构(CA)和 NAC 策略引擎,企业可以实现零信任网络访问,即刻阻止已被侵入或已报废的设备。本技术参考提供了可操作的部署指导、风险缓解策略,并探讨了这种面向内部员工的安全体系如何与 Purple 的 Guest WiFiWiFi Analytics 平台等面向公众的基础设施相辅相成。

技术深度剖析

在任何使用带有 EAP-TLS 的 IEEE 802.1X 的企业网络中,设备都使用数字证书而不是共享凭据进行身份验证。这种方法是现代安全架构的基础,可提供与设备绑定的身份,并通过 SCEP 等协议与 MDM 平台无缝集成(如需深入阅读,请参阅 SCEP 和 NAC 在现代 MDM 基础设施中的作用 )。然而,证书具有明确的生命周期。当设备丢失、员工离职或私钥遭到泄露时,必须明确指示网络基础设施不再信任该证书。

这种撤销指令通过两种主要机制传递:CRL 和 OCSP。

证书撤销列表(CRL)架构

CRL 是由证书颁发机构发布的经过数字签名的文件,其中包含所有已撤销但尚未过期的证书序列号。NAC 策略引擎(充当 RADIUS 服务器)会定期通过 HTTP 或 LDAP 从 CRL 分发点(CDP)下载此列表。

在 EAP-TLS 握手期间,RADIUS 服务器会将传入的客户端证书序列号与本地缓存的 CRL 进行比对。如果该序列号存在于列表中,则拒绝身份验证。

架构特点:

  • 离线容灾: 由于 RADIUS 服务器会缓存 CRL,因此即使 CA 或 CDP 无法访问,吊销检查仍可继续进行。
  • 延迟: 主要缺点是吊销与执行之间存在延迟。如果证书在上午 09:00 被吊销,而 CRL 刷新间隔为 24 小时,则受损设备在下一次下载之前仍将保持网络访问权限。
  • 吞吐量开销: 在拥有数千个证书的环境中,CRL 文件可能会增长到几兆字节,从而在刷新周期内对带宽产生压力。

在线证书状态协议 (OCSP) 架构

OCSP 通过启用实时吊销检查来解决 CRL 的延迟限制。RADIUS 服务器无需下载整个列表,而是向 OCSP 响应程序发送包含证书序列号的针对性查询。响应程序将返回一个已签名的状态:GoodRevokedUnknown

架构特点:

  • 实时执行: 吊销决策会立即生效。一旦 CA 更新了 OCSP 响应程序,受损设备的下一次身份验证尝试就会失败。
  • 可用性依赖: NAC 策略引擎依赖于 OCSP 响应程序的高可用性。如果无法访问响应程序,网络管理员必须定义故障策略:“故障打开”(授权访问,妥协安全性)或“故障关闭”(拒绝访问,妥协可用性)。
  • OCSP 装订 (Stapling): 为了减轻负载和隐私问题,OCSP 装订允许客户端设备获取已签名的 OCSP 响应并将其附加到 TLS 握手中,不过 supplicant 支持情况可能会有所不同。

ocsp_crl_architecture_overview.png

与访客及分析平台集成

在 OCSP 和 CRL 管理员工和公司设备严格安全需求的同时,面向公众的网络则需要不同的架构。对于公共场所,将强大的员工 NAC 与专用的公共平台(如 Purple)集成可确保全面的覆盖。Purple 平台处理公共区域的 Captive Portal 身份验证、服务条款接受和数据采集,而底层网络基础设施(通常是相同的物理接入点和交换机)则为公司 SSID 执行 802.1X 和 OCSP。了解无线电环境对这两个细分区域都至关重要;关于频谱规划,请参阅 WiFi Frequencies: A Guide to Wi-Fi Frequencies in 2026

实施指南

部署自动证书吊销需要跨 PKI、MDM 和 NAC 领域进行协调。请按照这些与厂商无关的实施步骤来建立弹性的吊销流程。

第 1 步:定义吊销触发器

自动化始于终端管理层。配置您的 MDM 平台(例如 Microsoft Intune、Jamf Pro),使其在满足特定条件时触发向您的证书颁发机构发送吊销 API 调用:

  • 当设备从 MDM 中注销时
  • 当设备被标记为不合规时
  • 当目录服务中的用户帐户被禁用时

步骤 2:配置吊销基础设施

对于 CRL 部署:

  1. 配置 CA 将 CRL 发布到高可用的 CDP(例如负载均衡的内部 Web 服务器)。
  2. 根据您的风险承受能力设置 CRL 发布周期(例如,每 4 小时一次)。
  3. 配置 RADIUS 服务器以略短于发布周期的间隔获取 CRL,以确保缓存始终是最新的。

对于 OCSP 部署:

  1. 在负载均衡器后部署至少两个 OCSP 响应器,以确保高可用性。
  2. 配置 CA 立即将吊销更新推送到 OCSP 响应器。
  3. 配置 RADIUS 服务器在 EAP-TLS 身份验证期间查询负载均衡的 OCSP 虚拟 IP。

步骤 3:建立回退策略

不要依赖单一机制。配置您的 RADIUS 服务器将 OCSP 作为主要的吊销检查方式,并在无法访问 OCSP 响应器时回退到本地缓存的 CRL。这在正常情况下提供了实时执行能力,在基础设施宕机时提供了离线弹性。

步骤 4:定义失败行为

如果 OCSP 和缓存的 CRL 都不可用,RADIUS 服务器必须决定如何处理身份验证请求。

  • 高安全环境(例如 医疗 ): 配置为“故障关闭”。拒绝访问,以防止可能受到威胁的设备进行连接。
  • 标准环境(例如 交通 枢纽): 配置为带警报的“故障开启”。允许访问以保持业务连续性,但向 SOC 生成高优先级警报。

ocsp_vs_crl_comparison_chart.png

最佳实践

  1. 实施增量 CRL: 如果在大规模环境中依赖 CRL,请实施增量 CRL。这些文件仅包含自上次发布完整基础 CRL 以来发生的吊销变更,这显著减少了下载大小和带宽消耗。
  2. 监控 OCSP 延迟: OCSP 查询在 EAP-TLS 握手期间内联进行。如果 OCSP 响应器需要 500 毫秒来回复,则身份验证将延迟 500 毫秒。监控响应器的延迟,并在响应时间变长时进行水平扩展。
  3. 短寿命证书: 考虑通过自动化的 SCEP/EST 更新来缩短证书有效期(例如,从 1 年缩短至 7 天)。短寿命证书自然会快速过期,从而减少对强大吊销基础设施的依赖。
  4. 与更广泛的网络战略保持一致: 确保您的 NAC 部署与广域网架构相匹配。有关现代 WAN 设计的见解,请参阅 SD WAN 对比 MPLS:2026年企业网络指南

故障排除与风险缓解

自动吊销最常见的故障模式是 CA 到 NAC 的管道中断,从而导致“故障关闭”事件,将合法用户拒之门外。

风险: OCSP 响应器停机 缓解措施: 在多个故障域中以双活集群(active-active cluster)方式部署响应器。在负载均衡器上实施全面的健康检查,不仅验证 TCP 端口 80 的可用性,还要验证响应器查询 CA 数据库的能力。

风险: CRL 缓存过期 缓解措施: 由于网络分区或 CDP 停机,RADIUS 服务器可能无法下载最新的 CRL。实施监控,在本地缓存的 CRL 早于定义的发布间隔时发出警报。

风险: MDM 吊销不完整 缓解措施: 如果 MDM 未能向 CA 触发吊销调用,则证书仍然有效。实施一个对账脚本,定期对比 MDM 的活动设备列表与 CA 的有效证书列表,并自动吊销任何不一致的证书。

投资回报率(ROI)与业务影响

自动证书吊销将安全从被动、手动的流程转化为主动、自动的防御机制。

  • 风险缓解: 通过消除设备受损与网络隔离之间的暴露窗口,企业显著降低了横向移动和数据泄露的风险。这对于保持符合 PCI-DSS 和 GDPR 等框架至关重要。
  • 运营效率: 自动化吊销管道无需支持人员在员工离职时手动更新 RADIUS 配置或 CA 数据库,从而为大型企业每年节省数百小时的工作时间。
  • 统一访问策略: 针对企业设备的强大 NAC 环境使 IT 团队能够满怀信心部署并行服务,例如 Purple 基于分析的访客 WiFi 或基于位置的服务(参阅 企业蓝牙低功耗 BLE 详解 ),因为他们知道核心基础设施依然安全。

请在下方收听我们关于该主题的技术简报:

关键定义

EAP-TLS(可扩展身份验证协议 - 传输层安全)

802.1X 网络身份验证中最安全的标准,要求客户端和服务器都提供数字证书来证明其身份。

IT 团队部署 EAP-TLS 以消除与基于密码的身份验证相关的风险,确保只有受管的、持有证书的设备才能连接到企业网络。

OCSP(在线证书状态协议)

用于实时获取 X.509 数字证书吊销状态的互联网协议。

对于需要立即执行访问策略的环境(例如当员工被解雇且必须立即断开其设备连接时)至关重要。

CRL(证书吊销列表)

由签发证书颁发机构定期发布并进行数字签名的已吊销证书序列号列表。

用作离线或隔离网络中的主要吊销机制,或作为 OCSP 的高弹性备用机制。

OCSP 装订

客户端设备自行获取其 OCSP 响应并将其“装订”到 TLS 握手中的一种机制,然后将其呈现给 RADIUS 服务器。

减轻 RADIUS 服务器和 OCSP 响应程序的负载,并通过防止证书颁发机构获知设备进行身份验证的具体时间和地点来提高隐私性。

Delta CRL

自上次发布完整 Base CRL 以来仅包含被吊销证书的较小吊销列表。

对于大规模部署至关重要,可防止网络拥塞,因为完整 CRL 的文件体积可能会变得非常庞大,并在更新周期内消耗大量带宽。

CDP(CRL 分发点)

证书颁发机构发布 CRL 以供客户端和 RADIUS 服务器下载的位置,通常是 HTTP 或 LDAP URL。

IT 团队必须确保 CDP 具有高可用性,并且可从所有 NAC 策略引擎访问;如果 CDP 宕机,RADIUS 服务器将无法更新其缓存。

故障打开 / 故障关闭

规定当吊销基础设施(OCSP 或 CDP)无法访问时应如何处理的策略决策。故障打开允许访问;故障关闭拒绝访问。

在安全状况与业务连续性之间进行权衡的关键业务决策。需要 IT 运营团队和 CISO 的共同批准。

SCEP(简单证书注册协议)

MDM 平台使用的一种协议,用于无需用户干预即可自动向受管设备签发数字证书。

自动化生命周期的起点。SCEP 签发证书,在设备退役时,MDM 随后会触发证书颁发机构将其吊销。

应用实例

一个拥有 500 张床位的医院网络正在将所有医疗 IoT 设备和员工笔记本电脑从基于凭据的 802.1X 迁移到基于证书的 EAP-TLS。CISO 要求,如果报告设备被盗,必须在 5 分钟内终止其网络访问。网络团队担心如果 RADIUS 服务器必须不断查询外部服务,会产生过高的负载。应该如何设计吊销架构?

医院必须部署 OCSP 以满足 5 分钟的吊销 SLA,因为 CRL 刷新间隔无法在不引起严重网络开销的情况下可靠地达到此目标。为了解决网络团队对负载的担忧,该架构应在医院的数据中心本地部署 OCSP 响应程序,并将其部署在靠近 RADIUS 服务器的位置以最大程度地降低延迟。RADIUS 服务器应配置为查询本地 OCSP VIP。为了确保弹性,RADIUS 服务器必须配置为回退到每小时更新一次的本地缓存 CRL。由于医疗环境严格的合规性要求,失败策略必须设置为 “失败关闭”(fail closed)。

考官评语: 这种方法正确平衡了严格的安全要求(5 分钟 SLA)与运营稳定性。通过将 OCSP 响应程序本地化,该设计减轻了延迟和 WAN 依赖。引入 CRL 回退表明了对高可用性设计的成熟理解,确保临时 OCSP 中断不会立即触发 “失败关闭” 策略并中断临床运营。

一家拥有 1200 家门店的全球零售连锁店使用 SCEP 为销售点(POS)平板电脑配置证书。这些门店的 WAN 带宽有限。IT 总监希望实施证书吊销,但担心在 1200 个分支机构的 RADIUS 服务器上下载大型 CRL 文件会使 WAN 链路饱和。最佳部署策略是什么?

该零售连锁店应实施利用增量 CRL(Delta CRL)和 OCSP Stapling 的混合方法。首先,CA 应配置为每周发布一次基础 CRL,并每 4 小时发布一次增量 CRL(仅包含最近的吊销)。分支机构的 RADIUS 服务器在白天只需下载微小的增量 CRL,从而将对 WAN 的影响降至最低。或者,如果 POS 平板电脑的 EAP 客户端支持,则应启用 OCSP Stapling。这将获取 OCSP 响应的负担从分支机构 RADIUS 服务器转移到平板电脑本身,平板电脑可以通过标准 HTTPS 直接从中央 CA 获取响应,从而完全绕过 RADIUS 服务器的处理开销。

考官评语: 该解决方案有效地解决了特定限制:边缘的 WAN 带宽。在这种情况下,推荐使用增量 CRL 是行业标准做法。关于 OCSP Stapling 的次要建议展示了对 EAP-TLS 机制的深入了解,尽管关于客户端支持的注意事项至关重要,因为许多传统 IoT 或 POS 设备不支持 stapling。

练习题

Q1. 您的组织正在 50 个远程分支机构部署 802.1X。连接到中央数据中心的 WAN 链路高度拥塞且经常丢包。您需要为分支机构的企业笔记本电脑实施证书吊销。您应该选择哪种架构?

提示:考虑丢包对实时协议的影响以及缓存数据的弹性。

查看标准答案

您应该实施基于 CRL 的架构,具体是使用 Base 和 Delta CRL。由于 WAN 链路拥塞且不稳定,实时的 OCSP 查询会经常超时,从而导致身份验证延迟或失败。通过配置分支机构 RADIUS 服务器在非高峰时段下载并缓存 Delta CRL,即使在身份验证尝试期间 WAN 链路完全断开,本地 RADIUS 服务器也可以立即针对其缓存执行吊销检查。

Q2. 安全审计发现,当您的主要 OCSP 响应程序下线维护时,所有企业用户都会被完全锁定在 WiFi 网络之外。业务部门要求维护不得影响用户连接,但 CISO 拒绝将策略更改为“故障打开”。您如何解决这个问题?

提示:如果您无法更改失败策略,则必须更改服务的可用性。

查看标准答案

您必须为 OCSP 服务实施高可用性。部署至少一个额外的 OCSP 响应程序,并将两者都放在负载均衡器后面。配置 RADIUS 服务器以查询负载均衡器的虚拟 IP (VIP)。在维护期间,您可以排空主要响应程序的连接并将其下线,负载均衡器将无缝地将所有 OCSP 查询路由到辅助响应程序,从而同时满足业务连续性要求和 CISO 的“故障关闭”指令。

Q3. 您已将 MDM 配置为在设备被标记为“丢失”时自动吊销证书。您通过将测试 iPad 标记为丢失来测试系统。MDM 确认了吊销,但 10 分钟后,iPad 成功连接到了企业 WiFi。RADIUS 服务器配置为使用每 24 小时发布一次的 CRL。根本原因是什么,您该如何解决?

提示:追踪从证书颁发机构到 RADIUS 服务器执行引擎的吊销数据的时间线。

查看标准答案

根本原因是 CRL 发布和刷新周期的延迟。虽然 MDM 成功通知 CA 吊销了证书,但 CA 在下一个 24 小时周期之前不会将更新后的状态发布到 CRL 分发点,并且 RADIUS 服务器在其自身缓存过期之前不会下载它。要解决此问题,您必须迁移到 OCSP 进行实时检查,或者大幅缩短 CRL 的发布和下载间隔(例如,缩短至 1 小时)以满足您要求的强制执行时间表。