运行openssl ocsp时,为什么会出现验证错误:无法获取本地颁发者证书?
运行openssl ocsp时,出现验证错误"无法获取本地颁发者证书"的原因是因为openssl ocsp命令在验证证书链时无法找到本地的颁发者证书。
在使用openssl ocsp命令进行证书验证时,需要提供完整的证书链,包括目标证书和所有中间证书,以及根证书。如果缺少其中任何一个证书,就会导致验证错误。
解决这个问题的方法是确保openssl ocsp命令能够访问到完整的证书链。可以通过以下步骤来实现:
- 确认目标证书的完整证书链:使用openssl命令查看目标证书的证书链,例如:openssl s_client -connect <目标服务器>:<端口号> -showcerts这将返回目标服务器的证书链,包括目标证书、中间证书和根证书。将这些证书保存到本地文件。
- 配置openssl ocsp命令使用证书链:在运行openssl ocsp命令时,使用"-CAfile"参数指定证书链文件的路径,例如:openssl ocsp -issuer <颁发者证书路径> -CAfile <证书链文件路径> -cert <目标证书路径> -url <OCSP服务器URL>这将告诉openssl ocsp命令使用指定的证书链进行验证。
- 确保OCSP服务器可访问:验证错误可能还与OCSP服务器的可访问性有关。确保可以从运行openssl ocsp命令的主机访问到OCSP服务器,并且OCSP服务器的URL正确无误。
总结:
当运行openssl ocsp时出现验证错误"无法获取本地颁发者证书"时,需要确保openssl ocsp命令能够访问到完整的证书链,并正确配置命令参数。同时,还需要确保OCSP服务器可访问。
相关·内容
我正在学习证书,并想了解:
中间证书如何可能不包括CA Issuers部件?
难道这不是必须的,这样客户才能把它理解为信任链吗?
我想举两个例子:
中间证书包括CA Issuers (*.stackexchange.com)的人和不包括的人(udemy.com)。
让我们从security.stackexchange.com开始:
openssl s_client -connect security.stackexchange.com:443
产出:
[...]
-----BEGIN CERTIFICATE-----
MIIHJTCCBg2gAwIBAgISA72+1m+qM4K1gtDMN
浏览 0提问于2020-09-30得票数 0
回答已采纳
上记录的openssl程序要求客户端将证书和CA证书发送到ocsp resopnder。但是,用于OCSP的RFC 2560不需要这样做。OCSP响应器不应该预先配置CA证书,并且能够从客户端发送给它的证书中找到特定的CA吗?感谢您的回答
浏览 2提问于2011-07-06得票数 4
回答已采纳
2回答
我有个问题。我正在使用openssl来验证我的证书- x509_verify_cert()。但是这个函数没有使用ocsp。因此,如果没有crl,这可能是一个问题。在openssl error中,我找到了这个define - x509_err_ocsp_verify_needed,但我不明白它是如何使用的。看起来可能存在某种回调,用于连接到ocsp服务器函数或类似的东西。据我所知,我还发现它可以用于我自己的验证函数,但我只想要ocsp检查。
所以我的问题是:是否可以要求openssl使用ocsp进行验证以及如何进行验证?
浏览 2提问于2019-05-24得票数 0
这基本上是要求提供问题的附加信息:https://stackoverflow.com/questions/9607516/openssl-certificate-revocation-check-in-client-program-using-ocsp-stapling
我想知道OpenSSL实际上是如何处理OCSP订书机响应的。问题如下:
OpenSSL是否检查响应的签名、颁发者密钥/名称散列?
响应是否包括整个证书链的OCSP响应?如果是这样的话,有没有办法知道其中一个验证失败了?
总之,我能否简单地依赖“证书状态:良好”字段的响应?:)
我担心的是,黑客可能会使用已撤销(被盗)证书来创建
浏览 0提问于2016-04-13得票数 2
回答已采纳
1回答
仅仅是由于我自己的网络中的私有兴趣和使用,我正在使用openssl创建一个证书链(根CA→中间CA→服务器证书)。我希望证书链是可追踪的,并且能够撤销证书。
目前,我还不确定在创建证书时应该设置哪些CRL分发点( openssl语音中的crlDistributionPoints)和OSCP (authorityInfoAccess = OCSP;URI: ...和authorityInfoAccess = OCSP;caIssuers: ...)。检查一些公共网站的证书,在我看来,以下是一条路。那么,请你检查一下我是否是对的?
根CA证书:
CRL:根CA CRL或根本没有
OCSP URI:
浏览 0提问于2020-04-05得票数 1
回答已采纳
我很难在线确认这一点-- OCSP服务器URL是在CA的X509证书中指定的吗,就像CRL一样,还是必须由网络管理员指定带外?验证器如何知道使用哪个OCSP服务器来验证给定的证书(假设我们有它的证书路径)?
浏览 2提问于2013-03-28得票数 1
回答已采纳
1回答
OCSP数据包的内容?
、、、、
据我所知,web浏览器使用OCSP数据包来检查传入证书(来自web服务器)是否仍然有效或是否被撤销。
我对此有一些疑问:
关于OCSP我说的对吗?
2-浏览器是否为每个传入证书发送OCSP请求?
3-这些请求的取消在哪里?根CA?
我使用Wireshark监视网络适配器上的数据传输,并捕获以下请求:
点击放大
[
[]()
那么,上面的观察在上面的问题上又增加了三个问题:
4-我做了一个whois IP,目标IP,结果显示它是。它真的是根CA吗?
5-此请求是以简单的方式发送的,不使用SSL协议加密!为什么?它就不能简单地用MITM攻击吗?
这个包只包含issuerNameHash,issu
浏览 8提问于2015-08-10得票数 4
回答已采纳
为了签署PDF文件,我使用了signDetached。
...
OcspClient ocspClient = new OcspClientBouncyCastle();
MakeSignature.signDetached(appearance, digest, pks, chain, crlList, ocspClient, tsaClient, estimatedSize, subfilter);
PDF没有错误地进行签名,但是缺少嵌入的OCSP响应:
OCSP服务器正常工作,但是
我使用的CA用可信的responderCert (不同于issuerCert)来标记OCSP响应
浏览 5提问于2014-11-26得票数 0
回答已采纳
1回答
自动获取中间证书的代码
、、、
在安装SSL证书时,还应该包括中间证书。
我处理了大量SSL证书,并花费了大量时间跟踪整个链上的中间层。
我想要写的代码,将获取的中间自动。我使用python和java,我不太关心实现。(要么运行命令并解析输出,要么使用一些本地API )。
在我看来,这是一个非常有用的算法,我相信已经有人写过了。
有一个openssl命令可以做到这一点吗?找了却找不到。是否有更好的方法--使用python / Java.
谢谢。
浏览 3提问于2012-05-09得票数 1
1回答
System.setProperty("com.sun.net.ssl.checkRevocation", "true");
Security.setProperty("ocsp.enable", "true");
设置这些属性真的足以启用OCSP吗?
如果是这样,那么为什么我们需要弹跳城堡OCSP支持而不是仅仅设置这个属性?
浏览 5提问于2016-11-26得票数 2
回答已采纳
我刚从RapidSSL那里买了一张证书。翻看链条,我找到了GeoTrust,他是由Equifax签名的。
然后我意识到“Equifax安全证书颁发机构”将于2018-08-22格林尼治标准时间16:42到期。我的证书将于2018-09-01格林尼治时间01:32到期。GeoTrust将于2022-05-21在6:00到期.给我的新证书的寿命比链上的证书更长。
在我的证书的最后八天会发生什么?它是否将不再有效,因为链将被打破?
我在组装链以使OSCP在OpenSSL中工作时遇到了这个问题。当我的链不包含Equifax时,OpenSSL发出了错误,而浏览器和其他客户端似乎只对GeoTrust认证面
浏览 0提问于2014-08-31得票数 13
我目前正试图弄清楚OCSP协议是如何工作的。什么交通是发送/接收的和谁发送的。
就我目前的理解而言,当客户端试图寻址服务器时,正在执行对第三方的请求(是新地址的新流),这是从颁发证书的证书颁发机构获取其信息的ocsp响应程序。然后返回一个反馈,这是一个与RFC匹配的ocsp响应。
2个问题
第三方的流总是通过http完成吗?它是通过ssl完成的吗?如果它是在ssl上完成的,我如何识别它?
在使用Facebook或twitter的时候,我只看到了一个主流,没有对第三方的请求,甚至没有考虑删除所有的cookie和现金。有什么解释吗?
谢谢!史洛米
浏览 10提问于2013-12-31得票数 0
如何发现Windows上的OCSP响应有什么问题?
我正在尝试在现场Exchange Server 2019中安装一个新的证书.但是Exchange总是报告说新证书失败了吊销检查,并且不会使用它。新证书具有从新证书到中间ca到根CA的信任链。当我在certmgr.msc中打开新证书时,我会看到该链,并且在certmgr中所有证书都报告为OK。我已将根CA安装到“受信任的根证书颁发机构”存储中。我已将中间CA安装到“中级证书颁发机构”商店。
新的cert的Authority信息访问 URL指定了我自己的OCSP响应程序。我知道这不是连接或代理问题,因为我实时地观察OCSP日志,我知道连接已经建立
浏览 0提问于2021-07-02得票数 1
回答已采纳
1回答
RFC 2560中提到有6项要求OCSP响应被视为有效的OCSP响应:
在收到的答复中识别的证书对应于相应请求中标识的证书;
响应上的签名有效;
签名者的身份与请求的预期收件人匹配。
签名者目前被授权签署响应。
所指示的状态被已知为正确的时间(thisUpdate)是最近的。
当可用时,有关证书(nextUpdate)状态的更新信息可用的时间大于当前时间。
这些要求的含糊不清之处在于:
我们为什么要查三号?我是否可能向Comodo CA发送OCSP请求,然后收到例如Iden Trust CA的响应?!我的意思是,仅仅检查一下响应是否由我的计算机中的一个可信CA签名就够了吗?
我们为什么要查4号
浏览 0提问于2017-09-02得票数 2
回答已采纳
我使用的是方法。我想知道在决定证书的有效性时进行了哪些检查。我已验证当前用户/不受信任列表是否已选中。文档说它将使用“地址簿”存储,通过主题密钥标识符进行搜索,以构建证书链。我想这意味着本地计算机和当前用户证书存储?
我是否可以认为证书吊销和签名时间戳不会被检查?要进行证书吊销的OCSP检查,我必须使用Bouncy Castle吗?
浏览 0提问于2016-01-19得票数 0
1回答
我在SLES11上运行OPENSSLv0.9.8j,在使用SSLv2时遇到了证书验证问题
如果我强制openssl在-ssl3中使用SSLv3,openssl能够验证证书。但是如果我切换到-ssl2,我会得到以下错误:
验证error:num=20:unable以获取本地颁发者证书
我是ssl机械师的新手,有没有可能我的本地证书(.pem)只适用于SSLv3而不适用于SSLv2?
浏览 5提问于2014-02-27得票数 0
我正在尝试从Ubuntu服务器为一个应用连接到苹果的推送通知服务。我已经成功地生成了我正在使用的pyAPNS提供程序所需的组合.pem证书。但是,当我尝试使用openssl verify验证证书时,我得到了error 20 at 0 depth lookup:unable to get local issuer certificate。如果我显式地指定证书颁发机构(openssl verify apns.pem -CAfile entrust_2048_ca.pem),但我已经按照“将证书导入系统范围的证书颁发机构数据库”中的指示在系统上显式地安装了Entrust证书,并且就我所理解的而言,一
浏览 1提问于2012-08-21得票数 12
回答已采纳
警告-> n00b!
一段时间以来,我一直在学习笔试工具,但我仍然是完整的n00b。我已经在本地网络上的另一台计算机上安装了Metasplitable2,并且在我的计算机上以VM的形式运行Kali。因此,我已经启动了BurpSuite来捕获流量到:8180/admin/ on Metaspoitable2。但令我惊讶的是,我看到了(除了预期的流量)向ocsp.digicert.com发送的请求。我的Kali安装是默认的(没有新的SW安装)。所以我的问题是:为什么Kali浏览器会向ocsp.digicert.com发送帖子请求。这是正常的吗?
浏览 0提问于2018-06-15得票数 2
回答已采纳
1回答
我知道由CA签名的证书包含主体和颁发者公钥的标识符:
$ openssl x509 -in cert.pem -text
X509v3 Subject Key Identifier:
EC:27: ...
X509v3 Authority Key Identifier:
keyid:AF:08: ...
我可以提取这个主题的公开密钥:
$ openssl x509 -in cert.pem -pubkey
-----BEGIN PUBLIC KEY-----
T5l...
-----END PUBLIC KEY-----
能否
浏览 0提问于2019-01-29得票数 2
回答已采纳
1回答
The 以下是MSFT文件中的本段:
所有可能的证书链都是使用本地缓存的证书构建的。如果证书链中没有一个以自签名证书结尾,则CryptoAPI将选择最佳的链并尝试检索授权信息访问扩展中指定的颁发者证书以完成该链。此过程将重复执行,直到生成到自签名证书的链为止。
对于在受信任的根存储中以自签名证书结尾的每个链,将执行吊销检查。
这是否意味着单个证书可以有多个“链”。这看起来会是什么样子,会在哪里使用呢?
浏览 0提问于2012-06-02得票数 8
回答已采纳
1回答
如何测试OCSP的实现?
、、、、
为了测试ocsp实现,我需要一个ocsp响应程序。是否有任何准备就绪的应答器用于测试?或者有没有办法在本地主机上运行响应程序?
浏览 1提问于2016-11-29得票数 0
回答已采纳
2回答
我正在尝试使用php函数fsockopen在smtp服务器上使用ssl,在我的本地服务器上使用apache的端口465。它在php命令行上运行得很好,但是当脚本在我的浏览器中运行时,我得到了一个SSL错误。
php.ini
extension=php_openssl.dll line is not commented
通过Apache的phpinfo
Loaded Configuration File : D:\localhost\php-5.4.11\php.ini
openssl
OpenSSL support enabled
OpenSSL Library Version OpenSSL
浏览 2提问于2013-03-25得票数 2
回答已采纳
下面是一个PKI设置示例:
* Root CA (offline)
* Issuing CA
* Client 1
* Client 2
我希望为根CA生成的CRL指定一个CRL分发点,并为发出CA指定一个OCSP URL。因此,有关已撤销的客户端证书的信息只能通过OCSP获得。有关已撤销的颁发CA的信息(希望永远不需要)只能通过CRL获得。
问题是,这两种方式中哪一种是传达这一政策的正确方式:
* Root CA (CRL distribution point = http://...)
* Issuing CA (OCSP = http://...)
* C
浏览 0提问于2011-12-27得票数 12
回答已采纳
我在Windows 2008 R2 VM上安装了,我需要做的是修改证书,而不是使用AIA和CRL,而是只使用OCSP。OCSP安装在运行Windows 2008 R2的另一个VM上,并指向CA和。
我不能做的是从证书中删除AIA和CRL。有人能帮我解决这个问题吗?有人告诉我这是可能的!
谢谢
安迪
浏览 0提问于2015-02-27得票数 0
回答已采纳
1回答
无法openssl验证SSL证书
、、、、
我想做的是:与openssl -connect建立到远程站点的干净连接。
网站似乎是自签名的。
What I'm getting: CONNECTED(00000003)
depth=0 CN = DC01.home.pri
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = DC01.home.pri
verify error:num=27:certificate not trusted
verify return:1
depth=0 CN = DC01.hom
浏览 0提问于2015-07-25得票数 4
回答已采纳
1回答
有人能帮我做以下几件事吗?
RFC2560定义了什么时候可以接受OCSP响应者证书(对响应进行西格化):
1. Matches a local configuration of OCSP signing authority for the
certificate in question; or
2. Is the certificate of the CA that issued the certificate in
question; or
3. Includes a value of id-ad-ocspSigning in an ExtendedKeyU
浏览 3提问于2011-05-04得票数 9
回答已采纳
我正在尝试OCSP验证,我不确定我是否正在跟踪所有这些。
请求者可以发送1-N证书ID,每个证书ID都有颁发者散列/序列号。响应者生成反列表,其中对于每个被请求的项目,有一个关于OCSP状态的答案。此外,还签署了整个答复。
我们可以说,对于每个请求/响应项,有以下变量:
发行人(可以针对每个被请求的项目不同)
响应者证书(每个响应只有一个)
应答者CA证书(每个响应中只有一个)
OpenSSL (来自ocsp(1ssl))讲述了验证过程的如下内容:
检查响应者与当地的信任。这只是标准的X.509验证。
如果发出者=应答者,则表示成功。
如果Issuer = Responder CA,并且在Re
浏览 0提问于2016-08-16得票数 3
我完成了生成SSL证书请求的以下步骤:
openssl genrsa -out key 2048
openssl req -new -key key -out csr
然后我把我的csr交给了我的签名机构,并拿回了我的证书。
我输入了一个名为“证书”的文件
现在我要验证证书是否正确。
openssl verify cert
我得到了原始的O和OU结果,但另外我得到了以下错误:
error 20 at 0 depth lookup:unable to get local issuer certificate
我是否正确地验证了证书,如果是的话,我为什么要得到这个错误?如果没有,我做错了什么?
浏览 0提问于2009-12-08得票数 3
回答已采纳
2回答
我正在尝试使用一个使用自签名证书的服务。
下载证书:# printf退出openssl s_client -connect my-server.net:443 -showcerts 2>/dev/null > my-server.net.crt
检查它的自签名(颁发者和主题相同):# openssl x509 -subject -issuer -noout -in my-server.net.crt subject=O = Acme Co,CN = Controller伪造证书issuer=O = Acme Co,CN = Controller伪造证书。
尝试将它与curl的--c
浏览 0提问于2018-08-16得票数 2
回答已采纳
1回答
如何使用请求库向EJBCA发出证书吊销状态的简单请求?
示例:
# Determine if certificate has been revoked
ocsp_url = req_cert.extensions[2].value[0].access_location.value
ocsp_headers = {"whatGoes: here?"}
ocsp_body = {"What goes here?"}
ocsp_response = requests.get(ocsp_url, ocsp_headers, ocsp_b
浏览 14提问于2020-10-19得票数 3
回答已采纳
关于OCSP协议,我有一个问题要检查证书是否被撤销。问题是要检查根CA下面的中间CA证书是否有效。我知道,当我们发送OCSP请求来验证证书时,对应的响应必须用我们正在检查的证书的颁发者的私钥签名。因此,在这种情况下,它必须是根CA的私钥。另外,我知道根CA (和整个根CA)的私钥是脱机的,因此它不会用该密钥签名,而是用根CA已委派为OCSP响应程序的权限的私钥(根CA将为该委托权限创建证书并对其签名)。所以我的问题是:
如果响应是用委托授权的私钥签名的,那么当客户端没有委托权限的证书(因此它没有公钥)时,客户端如何验证响应是否有效?客户端只有根CA的证书(和公钥),那么它如何获得委托权限的证书
浏览 0提问于2023-02-04得票数 1
回答已采纳
证书颁发机构授权(CAA) DNS记录类型包括一个issue参数(也是issuewild),该参数指定允许为您的域颁发证书的证书颁发机构的标识符。没关系,但有点模糊。
在您自己的CAA记录中设置值时,您应该如何找到CA的确切值(S)?在letsencrypt的情况下,他们提供了一个文档这里,其中提到了他们的问题标识符是letsencrypt.org,并且在他们的认证业务报表 4.2.1节中也记录了这一点。如果我检查证书,我可以看到它中的各种字段,然而,没有一个与此字符串完全匹配,尽管有一些包含它。这似乎不是一种严格或可靠的方法来确保CA与CAA记录中的内容相匹配-例如,是什么阻止了它被lets
浏览 0提问于2017-12-01得票数 6
回答已采纳
1回答
我正在尝试设置一个3到4个路径长度的OCSP服务器(根> IMCA1 > IMCA2 > Server)。我想问以下几个问题。
我应该使用哪个证书来签署OCSPSIGNING(Responder) certificate?When i将初始化OCSP服务器,在"CA“属性中,如果我想验证叶证书和中间证书,需要提到哪个证书。
浏览 4提问于2021-01-21得票数 0
我的工作是在gcc环境下进行。我需要实现两个函数:
1)检查给定字符串是否为证书的函数。
2)检查给定字符串是否为根证书的函数。
我想使用openssl。
我该怎么做呢?
浏览 0提问于2010-12-26得票数 1
我正在使用openssl v0.9.8r,并尝试运行此命令(在我运行的目录中,CA文件名为cacert.pem )
openssl s_client -CAfile cacert.pem -CApath ./ -connect mail.google.com:443
验证失败的原因如下
Verify return code: 20 (unable to get local issuer certificate)
但是,当我在一个较旧的版本(即OpenSSL 0.9.8e-fips-rhel5 )上尝试相同的命令时,它如预期的那样成功。我是不是漏掉了什么?我非常感谢能得到的任何帮助,因为我已经被
浏览 0提问于2011-06-09得票数 5
OCSP是脑损伤和隐私侵犯。是否有方法可以从证书文件中删除指定的OCSP响应程序,以防止我的站点访问者受到影响?
据我所知,如果OCSP有浏览器支持,OCSP装订将是很棒的,但不幸的是,我无法在当前的服务器配置中使用它。:(
浏览 0提问于2012-07-27得票数 0
回答已采纳
1回答
据我所知,正如前面提到的,浏览器检查特定证书的吊销状态有两种主要技术:使用联机证书状态协议(OCSP)或在证书吊销列表(CRL)中查找证书。
嗯,我知道有一些在线的OCSP服务器或OCSP方法,浏览器在那里发送一个请求来检查传入的证书是否被撤销,但是我对CRL一无所知。
CRL在哪里?是我的系统中的一个文件在OCSP请求之后更新,还是我试图连接到的web服务器中的一个列表?
谁更新的?
OCSP服务器如何检查吊销?(我的意思是,它如何更新已撤销证书的数据库?)
请注意,我知道我可以在命令行中看到使用certutil -urlcache crl的CRL缓存。但它是它的一个缓存
浏览 3提问于2015-09-07得票数 4
回答已采纳
2回答
我在本地文件中保存了一个证书(例如)。使用命令行中的openssl,如何将从该证书到根CA的整个链显示?
openssl verify -verbose -purpose sslserver -CApath /etc/ssl/certs InCommonServerCA.txt
得到了一个令人困惑的输出,似乎只显示了叶证书:
InCommonServerCA.txt: C = US, O = Internet2, OU = InCommon, CN = InCommon Server CA
error 26 at 0 depth lookup:unsupported certificate p
浏览 18提问于2013-09-11得票数 28
回答已采纳
对这个问题的一个高质量的回答提到:
系统定期更新最新补丁,特别是来自受信任来源(如Microsoft)的证书/CRL。“
如何在目前没有任何支持合同的Windows 7系统上更新证书/CRL?
(__An试图停留在主题上:请不要使用评论或答案来说明所有系统只应使用受支持的操作系统。在更新操作系统可能永远不会发生的情况下,仍有数以千万计的Windows 7系统在使用。还有数以百万计的系统仍在使用Windows 7之前的操作系统,而且很可能永远不会更新。当然,如果你愿意提供资金来更新所有这些系统,请做帖子!)
浏览 0提问于2021-06-12得票数 1
我过去曾在AWS中使用过OCSP订书机,由于AWS上的变化,它们不再允许这样做。这导致必须打开防火墙规则以允许来自客户端设备的OCSP的出站HTTP流量。
对于我们来说,在设备所处的安全网络上不允许打开端口80,一些人担心,通过HTTP以明文方式发送数据会使其在通往OCSP服务器的路由上对MiTM进行操作。
当我阅读在线证书状态协议()的信息时,它谈到了使用HTTP,但我看不到它具体说明它必须是端口80的地方。
任何人都有使用OCSP和不使用端口80的经验,或者对于向这种通信量开放这些端口有任何安全考虑。
浏览 0提问于2017-08-07得票数 5
回答已采纳
我正在尝试为从strongswan PKI生成的证书设置一个ocsp --使用它作为一个CA。如果我尝试使用openssl,它只会抛出Can't open index.txt.attr for reading, No such file or directory,尝试重新执行证书行。还是不起作用。我只是撞到一堵墙,需要一些新鲜的目光。
有什么办法可以让强天鹅部署吗?
如果是- 1a。多么?找不到任何文件。如果是- 1b。我和OpenSSL走的路对吗?
如何修复此错误消息--使用strongswan --我似乎无法生成index.txt
这也是我用来尝试运行- openssl ocsp
浏览 0提问于2018-04-24得票数 1
回答已采纳
上下文
我正在开发我自己的OCSP响应程序,它用自己签名的证书caOcspBC.crt签署了它的ocsp响应。您可以在这里找到它:https://github.com/Dinou/ocspResponder,我想从CA证书CA.crt颁发的证书RC.crt获得吊销状态,这要感谢openssl。
我所有的证书都在这里:https://github.com/Dinou/ocspResponder/tree/master/src/main/resources/certificates
因此,我执行第一个命令,通过-VAfile选项显式信任我的ocsp证书:
# openssl ocsp -issue
浏览 0提问于2014-05-14得票数 2
回答已采纳
我在上面安装了一个证书:
证书(本地计算机)
受信任的根认证机构
证书
这个代码得到的证书是有效的。
X509Store certStore = new X509Store(StoreName.CertificateAuthority, StoreLocation.LocalMachine);
certStore.Open(OpenFlags.OpenExistingOnly | OpenFlags.ReadOnly);
try {
var oAuthRootCertificateList = certStore.Certificates.F
浏览 4提问于2013-03-20得票数 6
回答已采纳
1回答
有人知道如何使用pywinrm到Windows服务器创建HTTPS连接吗?
我自己试过了,但是我无法建立这种联系。
我迄今所采取的步骤:
安装和导入pywinrm pip install pywinrmGenerated证书和密钥的:openssl req -nodes -new -x509 -keyout key.pem -out server.pemConverted server.pem to server.cer openssl x509 -inform PEM -in server.pem -outform DER -out server.cer inside server (在
浏览 6提问于2020-03-06得票数 0
1回答
OCSP如何处理已删除的证书?
、、、、
我们在Windows 2019上运行了一个Microsoft证书颁发机构。我们正在通过MDM向Android设备颁发证书。Android设备用户使用Chrome浏览器(在Android上)浏览web应用程序(由Apache托管,在PHP 8中实现),该浏览器需要客户端证书。
我们正在安装一个带有Microsoft OCSP Responder角色的单独的Windows 2019实例,以验证/验证提交给Apache web服务器的客户端证书是否有效。Apache有几个处理OCSP验证的指令。我们还想验证PHP中的证书以确保进一步的安全性。
从我阅读几个RFCs和Microsoft技术文档的研究来
浏览 0提问于2022-04-13得票数 0
回答已采纳
1回答
Openssl证书链
、、、、
执行命令:
openssl s_client -connect (redacted):443
我得到了输出
depth=1 C = US, O = Let's Encrypt, CN = R3
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = *.(redacted)
verify return:1
---
Certificate chain
0 s:CN = *.(redacted)
i:C = US, O = Let's Encrypt,
浏览 3提问于2021-02-09得票数 0
回答已采纳
我正在运行Windows Vista,正在尝试通过https连接以上传多部分形式的文件,但我在使用本地颁发者证书时遇到了一些问题。我只是想弄清楚为什么现在不能工作,然后在这个问题解决后再回到我的cURL代码上。我正在运行命令:
openssl s_client -connect connect_to_site.com:443
它为我提供了一个来自VeriSign,Inc.的数字证书,但也指出了一个错误:
Verify return code: 20 (unable to get local issuer certificate)
什么是本地颁发者证书?那是我自己电脑上的证书吗?有什么办法可以解
浏览 4提问于2012-07-19得票数 86
1回答
我正在尝试连接Azure am。我对此有点陌生。我在使用示例中给出的php代码。我在本地服务器上使用wamp。
我已经在本地主机上配置了SSL,以便能够打开。
然而,我一直收到下面的错误:
Failed to enable crypto stream_socket_client(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed in <b>C:\w
浏览 1提问于2017-07-29得票数 0
2回答
我必须在SSL服务器上测试OCSP功能。因为它现在是一个相当标准的特性,所以我四处寻找关于测试计划/设置OCSP响应程序等方面的提示?
浏览 0提问于2013-03-06得票数 1
回答已采纳
这很大程度上是对问题的更多信息的请求:
我想知道OpenSSL实际上是如何处理OCSP装订响应的。问题包括:
OpenSSL是否检查响应的签名、颁发者密钥/名称哈希?响应是否包含整个证书链的OCSP响应?如果是,有没有办法知道其中一个验证失败了?总结一下,我能不能简单地依靠响应的‘证书状态:良好’字段?:)
我担心的是,黑客可能会使用被吊销(被盗)的证书来制作https服务器,但在握手过程中,会为由同一CA颁发者认证的随机网站提供有效的装订OCSP响应。OpenSSL能处理这样的情况吗?
示例OCSP响应可以在中找到
浏览 7提问于2016-04-13得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
