Estado desconocido OCSP al pasar el certificado, buen estado al pasar en serie

Question

De acuerdo, así que tengo un sistema CA de múltiples capas que se parece a esto:

-ROOT_CA

---- intermedio_ca

-------- intermedio_ca2

------------ CERTERS DEL CLIENTE ...

Tengo un respondedor OCSP configurado en Intermedio_ca2 que se inicia así:

$ openssl ocsp -index intermedia_ca_2_index.txt -CA ca_crt_chain.crt -rsigner intermedia_ca_2.crt     -rkey intermedia_ca_2.key -port xxxx -text

En el lado del cliente, hago una solicitud OCSP así:

$ openssl ocsp -issuer ca_crt_chain.crt -CAfile ca_crt_chain.crt -cert client.crt -text -host localhost:xxxx -verify_other... -trust_other

Tenga en cuenta que Client.crt es solo el certificado del cliente, no la cadena completa, aunque he intentado tanto y ni trabajo.Siempre devuelve

Response verify OK
client.crt: unknown

Si cambio -cert client.crt en -serial 0xXXXXXXXXX (obviamente, pasando en una serie válida que coorpone a client.crt), entonces todo funciona con:

Response verify OK
0xXXXXXXXXX: good 

Curiosamente, si examino la solicitud en el primer ejemplo, es, de hecho, enviando la serie correcta.

No puedo por la vida de mí, averiguar esto.¿Alguna idea?

Answer 1

Por lo tanto, la solución es que aparentemente APENSSL OCSP no le gustan los archivos de cadena.Así que mi llamada de servidor se ve así ahora:

$ openssl ocsp -index intermedia_ca_2_index.txt -CA intermediate_ca_2.crt -rsigner intermedia_ca_2.crt -rkey intermedia_ca_2.key -port xxxx -text

Tenga en cuenta que sería más preferible tener un par de llaves completamente separados para la firma, pero w / e.

La conexión del cliente se vería así:

$ openssl ocsp -issuer intermediate_ca_2.crt -CApath /path/to/trust/store -cert client.crt -text -url http://localhost:xxxx