Stato sconosciuto OCSP Quando si passa il certificato, il buon stato quando si passa seriale

Question

Okay, quindi ho un sistema CA multistrato che sembra questo:

-root_ca

---- intermediate_ca

-------- Intermediate_ca2

------------ Cert client ...

Ho un risponditore OCSP impostato su intermediate_ca2 che è iniziato come:

$ openssl ocsp -index intermedia_ca_2_index.txt -CA ca_crt_chain.crt -rsigner intermedia_ca_2.crt     -rkey intermedia_ca_2.key -port xxxx -text

.

Sul lato client, faccio una richiesta OCSP come:

$ openssl ocsp -issuer ca_crt_chain.crt -CAfile ca_crt_chain.crt -cert client.crt -text -host localhost:xxxx -verify_other... -trust_other

.

Nota che client.crt è solo il certificato client, non l'intera catena, anche se ho provato in entrambi i modi e non funziona.Restituisce sempre

Response verify OK
client.crt: unknown

.

Se modifico -cert client.crt su -serial 0xXXXXXXXXX (ovviamente passando in un seriale valido che si collabora in client.ct), quindi tutto funziona con:

Response verify OK
0xXXXXXXXXX: good 

.

Stranamente, se esammo la richiesta nel primo esempio, è, effettivamente, inviando il corretto seriale.

Non posso per la vita di me capire.Qualche idea?

Answer 1

Quindi la soluzione è che apparentemente OpenSSL OCSP non piace i file della catena.Quindi la mia chiamata del server è così ora:

$ openssl ocsp -index intermedia_ca_2_index.txt -CA intermediate_ca_2.crt -rsigner intermedia_ca_2.crt -rkey intermedia_ca_2.key -port xxxx -text

.

Si noti che sarebbe più preferibile avere una coppia di chiavi interamente separate per la firma, ma w / e.

La connessione client sarebbe quindi così:

$ openssl ocsp -issuer intermediate_ca_2.crt -CApath /path/to/trust/store -cert client.crt -text -url http://localhost:xxxx

.