Stato sconosciuto OCSP Quando si passa il certificato, il buon stato quando si passa seriale
-
20-12-2019 - |
Domanda
Okay, quindi ho un sistema CA multistrato che sembra questo:
-root_ca
---- intermediate_ca
-------- Intermediate_ca2
------------ Cert client ...
Ho un risponditore OCSP impostato su intermediate_ca2 che è iniziato come:
$ openssl ocsp -index intermedia_ca_2_index.txt -CA ca_crt_chain.crt -rsigner intermedia_ca_2.crt -rkey intermedia_ca_2.key -port xxxx -text
.
Sul lato client, faccio una richiesta OCSP come:
$ openssl ocsp -issuer ca_crt_chain.crt -CAfile ca_crt_chain.crt -cert client.crt -text -host localhost:xxxx -verify_other... -trust_other
.
Nota che client.crt è solo il certificato client, non l'intera catena, anche se ho provato in entrambi i modi e non funziona.Restituisce sempre
Response verify OK
client.crt: unknown
.
Se modifico -cert client.crt
su -serial 0xXXXXXXXXX
(ovviamente passando in un seriale valido che si collabora in client.ct), quindi tutto funziona con:
Response verify OK
0xXXXXXXXXX: good
.
Stranamente, se esammo la richiesta nel primo esempio, è, effettivamente, inviando il corretto seriale.
Non posso per la vita di me capire.Qualche idea?
Soluzione
Quindi la soluzione è che apparentemente OpenSSL OCSP non piace i file della catena.Quindi la mia chiamata del server è così ora:
$ openssl ocsp -index intermedia_ca_2_index.txt -CA intermediate_ca_2.crt -rsigner intermedia_ca_2.crt -rkey intermedia_ca_2.key -port xxxx -text
.
Si noti che sarebbe più preferibile avere una coppia di chiavi interamente separate per la firma, ma w / e.
La connessione client sarebbe quindi così:
$ openssl ocsp -issuer intermediate_ca_2.crt -CApath /path/to/trust/store -cert client.crt -text -url http://localhost:xxxx
.