Cert를 통과 할 때 OCSP 알 수없는 상태, 직렬 전달 때 좋은 상태
https://stackoverflow.com//questions/25006998
-
20-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian문제
괜찮아, 그래서 다음과 같이 보이는 다층 CA 시스템이 있습니다.
-root_ca
---- intermediate_ca
-------- InterMediate_ca2
------------ 클라이언트 인증서 ...
I
와 같이 시작되는 InterMediate_CA2에 OCSP 응답자가 설정되었습니다.$ openssl ocsp -index intermedia_ca_2_index.txt -CA ca_crt_chain.crt -rsigner intermedia_ca_2.crt -rkey intermedia_ca_2.key -port xxxx -text
클라이언트 측면에서는 다음과 같이 OCSP 요청을합니다 :
$ openssl ocsp -issuer ca_crt_chain.crt -CAfile ca_crt_chain.crt -cert client.crt -text -host localhost:xxxx -verify_other... -trust_other
클라이언트는 전체 체인이 아닌 클라이언트 인증서 일뿐입니다.항상
를 반환합니다Response verify OK
client.crt: unknown
-cert client.crt를 -serial 0xXXXXXXXXX로 변경하면 (클라이언트 .crt에 공동으로 유효한 유효한 직렬에서 분명히 전달) 모든 것이 다음과 같이 작동합니다.
Response verify OK
0xXXXXXXXXX: good
이상하게 충분히, 첫 번째 예제에서 요청을 검사하면 실제로 올바른 일련을 보내는 것입니다.
나는 이것을 삶의 삶을 위해 할 수 없다.어떤 아이디어도 있습니까?
해결책
솔루션은 openssl OCSP가 체인 파일을 좋아하지 않는다는 솔루션입니다.그래서 내 서버 호출은 지금 다음과 같이 보입니다 :
$ openssl ocsp -index intermedia_ca_2_index.txt -CA intermediate_ca_2.crt -rsigner intermedia_ca_2.crt -rkey intermedia_ca_2.key -port xxxx -text
은 서명을위한 완전히 별도의 키 쌍을 갖는 것이 더 바람직하지만, w / e.
클라이언트 연결은 다음과 같이 표시됩니다 :
$ openssl ocsp -issuer intermediate_ca_2.crt -CApath /path/to/trust/store -cert client.crt -text -url http://localhost:xxxx
제휴하지 않습니다 StackOverflow
