如何在OCSP响应中获取和提取签名者证书
如何在OCSP响应中获取和提取签名者证书
提问于 2022-02-10 12:29:26
我试图在远程网站证书上执行OCSP验证。当我收到OCSP验证响应时。我需要对签名者的证书执行extendedKeyUsage "id-kp-OCSPSigning (1.3.6.1.5.5.7.3.9)“验证。但我无法在OCSP响应中找到签名者的证书。
来自https://datatracker.ietf.org/doc/html/rfc6960#section-4.2.2.2 Page18:
响应程序可以在BasicOCSPResponse的证书字段中包含证书,以帮助OCSP客户端验证响应者的签名。
但是BasicOCSPResponse中的证书字段是空的。是不是有一些扩展,我需要发送,以迫使OCSPResponder发送歌手的证书。或者我看错地方了。有人能建议我如何找到签字人的证书吗?
回答 1
Stack Overflow用户
发布于 2022-02-14 10:18:36
我对OCSP反应的理解是不正确的。有3个选项可以是原始签名证书。
- 颁发证书--这是证书链的一部分--大多数情况就是这样。
- 它可以是信任库中可用的证书之一。
- 也可能是OCSPResponse的一部分,但这并不总是必需的,因为这可以使用上述两个选项中的证书进行验证。
如果使用第三个条件找到签名证书。它应符合2项标准:
它应该具有id-kp-OCSPSigning (id: 1.3.6.1.5.5.7.3.9)和certificate.
- This
- 的extendedKeyUsage,OCSPResponse签名应该与证书匹配,并使用发行者certificate.的公钥进行验证。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/71065132
复制相关文章
相似问题
腾讯云开发者
