CERTを渡すときのOCSP不明なステータス、シリアルを渡すときの良いステータス
-
20-12-2019 - |
質問
大丈夫、私はこのような多層CAシステムを持っています:
root_ca
----中間_CA
----------中間_ca2
------------クライアント証明書...
OCSPレスポンダは、次のように始動された中間_CA2に設定されています。
$ openssl ocsp -index intermedia_ca_2_index.txt -CA ca_crt_chain.crt -rsigner intermedia_ca_2.crt -rkey intermedia_ca_2.key -port xxxx -text
.
クライアント側では、OCSPリクエストをそのようにします。
$ openssl ocsp -issuer ca_crt_chain.crt -CAfile ca_crt_chain.crt -cert client.crt -text -host localhost:xxxx -verify_other... -trust_other
.
client.crtは、チェーン全体ではなくクライアント証明書だけでなく、どちらの方法も作業も試みました。常に
を返しますResponse verify OK
client.crt: unknown
.
-cert client.crt
を-serial 0xXXXXXXXXX
に変更した場合(明らかにclient.crtに対応する有効なシリアルを渡す)場合、すべてが:
Response verify OK
0xXXXXXXXXX: good
.
奇妙なことに、最初の例で要求を調べると、確かに正しいシリアルを送信します。
私の人生がこれを把握するのはできません。任意のアイデア?
解決
だから解決策は明らかにOpenSSL OCSPがチェーンファイルのようなものではないことです。だから私のサーバーの呼び出しは今どのように見えます:
$ openssl ocsp -index intermedia_ca_2_index.txt -CA intermediate_ca_2.crt -rsigner intermedia_ca_2.crt -rkey intermedia_ca_2.key -port xxxx -text
.
署名のために完全に分離された鍵ペアを持つことがより好ましいが、w / e。
クライアント接続はそのように見えます。
$ openssl ocsp -issuer intermediate_ca_2.crt -CApath /path/to/trust/store -cert client.crt -text -url http://localhost:xxxx
. 所属していません StackOverflow