OCSP सत्यापन रूटीन सेट करने की कोशिश कर रहा हूँ, और इसलिए पहले पर्यावरण के साथ सहज होना चाहते हैं। ओपनएसएसएल के लिए उत्कृष्ट ट्यूटोरियल मिला : मैन्युअल रूप से एक OCSP के खिलाफ एक प्रमाण पत्र सत्यापित करें ।
कई सवाल उठते हैं, इसलिए कृपया मेरे साथ सहन करें।
उस ट्यूटोरियल के बाद से कुछ बदलाव हुए हैं, लेकिन मुझे लगता है कि जिस्ट है:
1) आप जिस सर्टिफिकेट को सत्यापित करना चाहते हैं, उसे रोके
openssl s_client -connect wikipedia.org:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > wikipedia.pem
2) प्रमाण पत्र श्रृंखला का निर्माण, जैसे
openssl s_client -connect wikipedia.org:443 -showcerts 2>&1 < /dev/null > chain.pem
और फिर उचित रूप से संपादित करें। मैंने पाया कि उपरोक्त स्व-हस्ताक्षरित सीए प्रमाण पत्र, GlobalSignRootCA प्रदान नहीं करता है, इसलिए इसमें जोड़ा गया है।
3) सागर URI निर्धारित करें, जैसे
openssl x509 -noout -ocsp_uri -in wikipedia.pem
जो लौटता है
http://ocsp2.globalsign.com/gsorganizationvalsha2g2
4) खुलता है ocsl ग्राहक ग्राहक, जैसे
openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp2.globalsign.com/gsorganizationvalsha2g2
जो लौटता है
[woody@oc2042275410 testCerts]$ openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http ://ocsp2.globalsign.com/gsorganizationvalsha2g2
Error querying OCSP responsder
140062843348808:error:27076072:OCSP routines:PARSE_HTTP_LINE1:server response error:ocsp_ht.c:250:Code=403,Reason=Forbidden
(Responsder?)
मैंने पढ़ा कि यह एक वर्चुअलाइजेशन मुद्दे के कारण है, इसलिए
openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp2.globalsign.com/gsorganizationvalsha2g2 -header "HOST" "ocsp2.globalsign.com"
कौन सी पैदावार
Response Verify Failure
140400906352456:error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:ocsp_vfy.c:126:Verify error:unable to get local issuer certificate
wikipedia.pem: good
This Update: Apr 28 23:10:10 2015 GMT
Next Update: Apr 29 11:10:10 2015 GMT
इसलिए मुझे लगता है कि OCSP ने लौटा दिया कि प्रमाणपत्र अच्छा है, लेकिन इससे सवाल 1 होता है: त्रुटि 'स्थानीय जारीकर्ता प्रमाण पत्र प्राप्त करने में असमर्थ' क्यों?
ठीक है, Google के साथ फिर से कोशिश कर रहा है। समान दिनचर्या, कैप्चरिंग सर्टिफिकेट, OCSP URI के लिए जाँच:
openssl x509 -noout -ocsp_uri -in google.pem
पैदावार
http://clients1.google.com/ocsp.
काफी उचित:
openssl ocsp -issuer gchain.pem -cert google.pem -url http://clients1.google.com/ocsp
Error querying OCSP responsder
140433209165640:error:27076072:OCSP routines:PARSE_HTTP_LINE1:server response error:ocsp_ht.c:250:Code=404,Reason=Not Found
नहीं मिला? यह आश्चर्यजनक लग रहा था। तारों के साथ जाँच:
> POST /ocsp HTTP/1.0
> Content-Type: application/ocsp-request
> Content-Length: 112
> 0n0l0E0C0A0...+..........j.....p.I.#z...(~d...U.. [.5...J:.......l..9.....{6.#0!0...+.....0......].O.9..}d`.L...
< ~HTTP/1.0 404 Not Found
< Content-Type: text/html; charset=UTF-8
< X-Content-Type-Options: nosniff
< Date: Tue, 28 Apr 2015 22:42:40 GMT
< Server: sffe
< Content-Length: 1429
< X-XSS-Protection: 1; mode=block
< Alternate-Protocol: 80:quic,p=1
<
< <!DOCTYPE html>
< <html lang=en>
< <meta charset=utf-8>
< <meta name=viewport content="initial-scale=1, minimum-scale=1, width=device-width">
< <title>Error 404 (Not Found)!!1</title>
< <style>
< *{margin:0;padding:0}html,code{font:15px/22px arial,sans-serif}html{background:#fff;color:#222;padding:15px}body{margin:7% auto 0;max-width:390px;min-height:180px;padding:30px 0 15px}* > body{background:url(//www.google.com/images/errors/robot.png) 100% 5px no-repeat;padding-right:205px}p{margin:11px 0 22px;overflow:hidden}ins{color:#777;text-decoration:none}a img{border:0}@media screen and (max-width:772px){body{background:none;margin-top:0;max-width:none;padding-right:0}}#logo{background:url(//www.google.com/images/errors/logo_sm_2.png) no-repeat}@media only screen and (min-resolution:192dpi){#logo{background:url(//www.google.com/images/errors/logo_sm_2_hr.png) no-repeat 0% 0%/100% 100%;-moz-border-image:url(//www.google.com/images/errors/logo_sm_2_hr.png) 0}}@media only screen and (-webkit-min-device-pixel-ratio:2){#logo{background:url(//www.google.com/images/errors/logo_sm_2_hr.png) no-repeat;-webkit-background-size:100% 100%}}#logo{display:inline-block;height:55px;width:150px}
< </style>
< <a href=//www.google.com/><span id=logo aria-label=Google></span></a>
< <p><b>404.</b> <ins>That...s an error.</ins>
< <p>The requested URL <code>/ocsp</code> was not found on this server. <ins>That...s all we know.</ins>
तो यह प्रश्न 2 है: क्या यह सही है, OCSP स्थानांतरित कर दिया गया था, और OCSP URI में मौजूद नहीं है? क्या यह शायद है कि सर्वर समान रूप से OCSP स्टेपलिंग में स्थानांतरित हो गया है, और OCSP सर्वर को अब महत्वपूर्ण नहीं मानता है?