Đang cố gắng thiết lập các thói quen xác nhận OCSP và vì vậy muốn được thoải mái với môi trường trước tiên. Tìm thấy các hướng dẫn tuyệt vời tại ví dụ OpenSSL: Xác minh thủ công chứng chỉ dựa trên OCSP .
Nhiều câu hỏi phát sinh, vì vậy xin vui lòng chịu với tôi.
Đã có một số thay đổi kể từ hướng dẫn đó, nhưng tôi nghĩ ý chính là:
1) lấy chứng chỉ bạn muốn xác minh, vd
openssl s_client -connect wikipedia.org:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > wikipedia.pem
2) xây dựng chuỗi chứng chỉ, vd
openssl s_client -connect wikipedia.org:443 -showcerts 2>&1 < /dev/null > chain.pem
và sau đó chỉnh sửa một cách thích hợp. Tôi thấy rằng ở trên không cung cấp chứng chỉ CA tự ký, GlobalSignRootCA, vì vậy đã thêm vào đó.
3) Xác định URI ocsp, vd
openssl x509 -noout -ocsp_uri -in wikipedia.pem
trả về
http://ocsp2.globalsign.com/gsorganizationvalsha2g2
4) Gọi máy khách ocp openssl, vd
openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp2.globalsign.com/gsorganizationvalsha2g2
trả về
[woody@oc2042275410 testCerts]$ openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http ://ocsp2.globalsign.com/gsorganizationvalsha2g2
Error querying OCSP responsder
140062843348808:error:27076072:OCSP routines:PARSE_HTTP_LINE1:server response error:ocsp_ht.c:250:Code=403,Reason=Forbidden
(người phản hồi?)
Tôi đọc được rằng đây là do vấn đề ảo hóa, vì vậy
openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp2.globalsign.com/gsorganizationvalsha2g2 -header "HOST" "ocsp2.globalsign.com"
mang lại
Response Verify Failure
140400906352456:error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:ocsp_vfy.c:126:Verify error:unable to get local issuer certificate
wikipedia.pem: good
This Update: Apr 28 23:10:10 2015 GMT
Next Update: Apr 29 11:10:10 2015 GMT
Vì vậy, tôi nhận được rằng OCSP trả lại rằng chứng chỉ đó là tốt, nhưng điều này dẫn đến câu hỏi 1: tại sao lỗi 'không thể có được chứng chỉ nhà phát hành địa phương'?
Ok, thử lại với Google. Cùng một thói quen, chụp chứng chỉ, kiểm tra OCSP URI:
openssl x509 -noout -ocsp_uri -in google.pem
sản lượng
http://clients1.google.com/ocsp.
Đủ công bằng:
openssl ocsp -issuer gchain.pem -cert google.pem -url http://clients1.google.com/ocsp
Error querying OCSP responsder
140433209165640:error:27076072:OCSP routines:PARSE_HTTP_LINE1:server response error:ocsp_ht.c:250:Code=404,Reason=Not Found
Không tìm thấy? Điều đó có vẻ đáng ngạc nhiên. Kiểm tra với wireshark:
> POST /ocsp HTTP/1.0
> Content-Type: application/ocsp-request
> Content-Length: 112
> 0n0l0E0C0A0...+..........j.....p.I.#z...(~d...U.. [.5...J:.......l..9.....{6.#0!0...+.....0......].O.9..}d`.L...
< ~HTTP/1.0 404 Not Found
< Content-Type: text/html; charset=UTF-8
< X-Content-Type-Options: nosniff
< Date: Tue, 28 Apr 2015 22:42:40 GMT
< Server: sffe
< Content-Length: 1429
< X-XSS-Protection: 1; mode=block
< Alternate-Protocol: 80:quic,p=1
<
< <!DOCTYPE html>
< <html lang=en>
< <meta charset=utf-8>
< <meta name=viewport content="initial-scale=1, minimum-scale=1, width=device-width">
< <title>Error 404 (Not Found)!!1</title>
< <style>
< *{margin:0;padding:0}html,code{font:15px/22px arial,sans-serif}html{background:#fff;color:#222;padding:15px}body{margin:7% auto 0;max-width:390px;min-height:180px;padding:30px 0 15px}* > body{background:url(//www.google.com/images/errors/robot.png) 100% 5px no-repeat;padding-right:205px}p{margin:11px 0 22px;overflow:hidden}ins{color:#777;text-decoration:none}a img{border:0}@media screen and (max-width:772px){body{background:none;margin-top:0;max-width:none;padding-right:0}}#logo{background:url(//www.google.com/images/errors/logo_sm_2.png) no-repeat}@media only screen and (min-resolution:192dpi){#logo{background:url(//www.google.com/images/errors/logo_sm_2_hr.png) no-repeat 0% 0%/100% 100%;-moz-border-image:url(//www.google.com/images/errors/logo_sm_2_hr.png) 0}}@media only screen and (-webkit-min-device-pixel-ratio:2){#logo{background:url(//www.google.com/images/errors/logo_sm_2_hr.png) no-repeat;-webkit-background-size:100% 100%}}#logo{display:inline-block;height:55px;width:150px}
< </style>
< <a href=//www.google.com/><span id=logo aria-label=Google></span></a>
< <p><b>404.</b> <ins>That...s an error.</ins>
< <p>The requested URL <code>/ocsp</code> was not found on this server. <ins>That...s all we know.</ins>
Vì vậy, đó là câu hỏi 2: điều này có đúng không, OCSP đã được di chuyển và không có mặt tại USP OCSP? Có lẽ là máy chủ đã chuyển sang thống nhất OCSP và không coi máy chủ OCSP quan trọng nữa?