使用ocsp检查证书链
使用ocsp检查证书链
提问于 2020-03-26 14:13:35
我有一个具有根ca和子ca的架构,如下所示:
根ca >子ca >服务器<
根ca为子ca传递证书,子ca为内部服务器传递证书。
因此,我有两个ocsp响应者:一个在根ca,另一个在子ca。
我的目标是使用外部客户端的ocsp检查证书链。
我使用以下命令:
openssl ocsp -issuer sub-ca.crt -CAfile sub-ca-and-ca_mere.crt -cert interne.crt -url http://ipa-ca.sub.cedricdomaine.fr/ca/ocsp
潜水员是潜艇的证书。
子ca和- ca _mere是子ca证书和根ca两者的连接.
interne.crt是服务器的证书。
我想知道在选项-url之后使用哪个url,因为我有两个ocsp响应程序: sub的一个还是根ca的一个?
回答 1
Security用户
发布于 2020-03-31 17:19:51
我自己也有过同样的问题,通过研究和实际测试,我发现openssl ocsp命令无法验证完整的证书链。
您只能同时验证一个“步骤”,因此您需要发出
openssl ocsp -issuer sub-ca.crt -CAfile sub-ca-and-ca_mere.crt -cert interne.crt -url http://ipa-ca.sub.cedricdomaine.fr/ca/ocsp验证服务器证书和行的有效性
openssl ocsp -issuer root-ca.crt -CAfile root-ca.crt -cert sub-ca.crt -url http://ipa-ca.root.cedricdomaine.fr/ca/ocsp以验证子ca证书的有效性。
“聪明”的客户端(如浏览器)但是,如果在每个证书中都提到了相应的响应者URL,那么应该以同样的方式将多个请求发送给沿着链的多个OCSP响应程序。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/227809
复制相关文章
相似问题
腾讯云开发者
