问题标签 [ocsp]

我不清楚在 OCSP 响应的定义中使用响应者 ID。

我正在通过 Java 的 PKIX API 进行 OCSP 检查。

使用我得到的第三方库（在 OCSP 响应处理期间）：

java.security.cert.CertPathValidatorException：无法确定吊销状态：响应中的 ResponderID 与响应者证书不匹配。

如果我切换到默认提供程序（例如 SUN），则不会出现此类异常，并且吊销检查工作正常。

进一步研究，似乎此异常与响应者的标识符是否将使用签名证书的公钥或签名证书的主题的密钥哈希有关。

我不知道有什么区别以及为什么 SUN 的实施对 OCSP 响应没有问题。

在我了解这里发生的事情之前，我不想草率地得出结论并放弃另一个库。

有人可以帮我理解这里可能是什么问题吗？

记录在http://www.openssl.org/docs/apps/ocsp.html的openssl ocsp 程序要求客户端将证书和 CA 证书发送到 ocsp 响应程序。然而，用于 OCSP 的 RFC 2560 并不要求这样做。OCSP 响应者是否应该预先配置 CA 证书，并且能够从客户端发送给它的证书中找到特定的 CA？感谢您的任何回答

我从那里获得客户身份证证书Request.ClientCertificate["CERTIFICATE"]，现在我必须检查它是GOOD，不是REVOKED还是UNKNOWN。我也有一个 OCSP 网址。

我检查了库 BouncyCastle，但没有弄清楚如何在我的示例中使用它。

也许 PHP 示例可以给你一个想法：

再会！

在我的 asp.net Web 应用程序中，我需要检查传入的文件数字签名。我通过调用来做到这一点：

SignedCms.CheckSignature(false) 或 SignerInfo.CheckSignature(false) (C#)。

而且我想确保在此类调用期间正确检查签名者的证书是否被吊销，确保系统设置正确并为我自己清除此过程。

传入签名者的证书可能包含大量 CA。因此，签名者的证书可能包含也可能不包含对 CA 的 OCSP 服务或 CA 的 CRL 服务的引用。

我希望系统以这种方式检查吊销：

IF 证书引用 CA 的 OCSP Web 服务然后系统向 CA 发出请求，ELSE IF 证书引用 CA 的在线 CRL 服务系统下载 CRL 并使用它 ELSE 系统使用本地 CRL。

能否请您回答我的问题：

1. 我如何（在哪里）找到描述所需行为的系统设置？（这种行为是可变的还是固定的？）
2. 如果证书中引用了CA的CRL web服务，是不是需要定期通过脚本下载安装CA的CRL，还是在需要CRL检查时依赖系统自动下载使用？

谢谢你。

我的一个客户遇到了一个让他们的系统管理员和 Godaddy 支持都感到烦恼的问题，他们说一切都是正确的，这个错误不应该发生。他们的 SSL 证书有效并且似乎安装正确：

http://www.sslshopper.com/ssl-checker.html#hostname=moocho.com

它也适用于 IE 和 Chrome。但是，在 firefox 上，用户会收到此错误（firefox 7 用户似乎在每次加载页面时都会收到此错误）：

相关历史：上周（大约 7-10 天前）他们使用了一个被撤销的不同证书。但是，他们在 9 月 5 日或 9 月 6 日收到了新的 SSL 证书，这是当前安装的证书。

我认为这可能与 firefox 用于检查证书真实性的 OCSP 服务有关。该服务是否已经缓存了旧证书被吊销时的数据，因此仍然报告 moocho.com 有一个吊销的证书？如果是这样，有没有办法解决这个问题？

如果不是，是什么导致了这个错误？

谢谢！

我有一个嵌入式 C 客户端程序，它使用 OpenSSL 安全地连接到服务器。服务器在握手期间提供其证书，客户端必须检查此证书的吊销状态。目前我通过使用 OCSP 来做到这一点。

所有这些都有效，但现在我需要使用OCSP 装订重新实现客户端的吊销检查（假设服务器将开始提供此功能）。

目前，我获取服务器证书，X509 *cert = SSL_get_peer_certificate(ssl)用于检查subjectAltName我的服务器域并获取authorityInfoAccess（对于 OCSP URI）。

假设我有一个SSL * ssl;并且我通过 成功设置并连接了所有内容SSL_connect(ssl);，此时我该怎么做才能获取 OCSP 装订信息并验证我刚刚收到的证书？我找不到任何关于如何使用 OpenSSL 库实际实现它的示例代码。

我在实验室的同一台机器上安装了 AD、AD CS 和 OCSP 并进行了配置。然后我使用 C# 来拥有一个 OCSP 客户端，以便它可以发送吊销检查请求并解析本地计算机上安装的特定证书的响应。C# 代码是使用 Bouncy Castle 程序集构建的 (http://www.bouncycastle.org/csharp/)

问题是，如果我在 AD CS 上颁发了证书并撤销了它，并发布了 CRL 和 Delta CRL，我的 OCSP 客户端仍然说这个证书是好的，直到我单击 AD CS 中的 Refresh Revocation Data -> OCSP ->阵列配置。

我已通过 LDAP://XXXX 将 OCSP 中的撤销配置的提供者配置为我的本地 CRL，

我还指定我的撤销提供程序每 5 分钟刷新一次 CRL。

有什么方法可以将我的 OCSP 设置为“实时”，这意味着在我撤销证书之后，我的 OCSP 客户端就会知道它已被撤销。或者，我的 OCSP 可以自动获取 CRL，而不是手动单击刷新吊销数据。

当你请求 OCSP 服务器检查证书的吊销状态时，它会自动检查整个链的吊销状态吗？

即：如果它说证书是“好”的，那么这是否意味着整个链条都是好的？

我阅读了规范：http ://www.ietf.org/rfc/rfc2560.txt

但我似乎仍然不清楚。

维基百科确实提到了链式 OCSP 请求：

http://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol

我正在努力在 BouncyCastle 中查找有关 OCSP 的信息，我在网上找到的示例充其量是模糊的，所以我想我会尝试在这里提问。

这是我的问题：我正在尝试在 BouncyCastle for .NET 中执行 OCSP，但我遇到了 OCSP 响应问题，特别是，我不明白在序列化并发送响应后如何恢复响应给收件人。

问题很可能是我以错误的方式构建响应本身，因为我这样做的方式是从网上找到的点点滴滴和我的纯粹“直觉”拼凑而成的。这是我创建响应的方式：

问题是现在我不知道如何从其序列化的 byte[] 表单中获取响应......似乎没有工厂/解析器或构造函数来获取它。有一个接受 byte[] 作为参数的 OcspResp 构造函数，但它会引发异常，我想是因为 OcspResp 和 BasicOcspResp 是不同的东西。

有谁能够帮助我？我构建响应本身是错误的，还是只是我看不到如何反序列化它？有什么提示吗？

提前谢谢大师_T

如何使用 Objective-C (iOS) 和 OpenSSL OCSP 库检查 x509 证书（我目前拥有 .cer 格式）的吊销状态？