CERTを渡すときのOCSP不明なステータス、シリアルを渡すときの良いステータス
https://stackoverflow.com//questions/25006998
-
20-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
大丈夫、私はこのような多層CAシステムを持っています:
root_ca
----中間_CA
----------中間_ca2
------------クライアント証明書...
OCSPレスポンダは、次のように始動された中間_CA2に設定されています。
$ openssl ocsp -index intermedia_ca_2_index.txt -CA ca_crt_chain.crt -rsigner intermedia_ca_2.crt -rkey intermedia_ca_2.key -port xxxx -text
クライアント側では、OCSPリクエストをそのようにします。
$ openssl ocsp -issuer ca_crt_chain.crt -CAfile ca_crt_chain.crt -cert client.crt -text -host localhost:xxxx -verify_other... -trust_other
client.crtは、チェーン全体ではなくクライアント証明書だけでなく、どちらの方法も作業も試みました。常に
を返しますResponse verify OK
client.crt: unknown
-cert client.crtを-serial 0xXXXXXXXXXに変更した場合(明らかにclient.crtに対応する有効なシリアルを渡す)場合、すべてが:
Response verify OK
0xXXXXXXXXX: good
奇妙なことに、最初の例で要求を調べると、確かに正しいシリアルを送信します。
私の人生がこれを把握するのはできません。任意のアイデア?
解決
だから解決策は明らかにOpenSSL OCSPがチェーンファイルのようなものではないことです。だから私のサーバーの呼び出しは今どのように見えます:
$ openssl ocsp -index intermedia_ca_2_index.txt -CA intermediate_ca_2.crt -rsigner intermedia_ca_2.crt -rkey intermedia_ca_2.key -port xxxx -text
署名のために完全に分離された鍵ペアを持つことがより好ましいが、w / e。
クライアント接続はそのように見えます。
$ openssl ocsp -issuer intermediate_ca_2.crt -CApath /path/to/trust/store -cert client.crt -text -url http://localhost:xxxx
所属していません StackOverflow
