问如何测试OCSP？

EN

OCSP应答机不是SSL服务器的一部分；它由为SSL服务器颁发证书的证书颁发机构维护。实际上，OCSP响应程序发布关于证书吊销状态的信息，而CA选择哪个证书被撤销，哪些没有被撤销。

因此，OCSP响应者通常会附带用于管理CA的软件。例如，请参见EJBCA，这是一个开放源码的PKI，它带有自己的OCSP响应程序。还有一些独立的响应程序，它们以CA生产的CRL为基础；例如，请参见这一个。

无论哪种方式，OCSP响应程序只在验证器与其对话时才是好的。试图验证证书的软件，特别是充当服务器客户端的Web浏览器，只有在知道证书存在并在何处找到证书时，才会使用给定的OCSP响应程序。实际上，这意味着OCSP响应程序的URL必须包含在证书本身中，作为权限信息访问扩展的一部分。当然，在颁发证书时，应该由CA在证书中包含或不包含这样的扩展。

客户端(如浏览器)在ssl握手期间发送扩展的clientHello时，应该提供他们信任的OCSP响应to。如果客户端不提供responderID，则将使用服务器已知的响应程序。检查rfc 6066中的"证书状态请求“。