问题标签 [ocsp]

我想在 OCSP 响应器前使用 nginx 作为缓存代理。'使用 POST 方法的 OCSP 请求构造如下：Content-Type 标头具有值“application/ocsp-request”，而消息正文是 OCSPRequest 的 DER 编码的二进制值。（来自 RFC2560）

因此，我将 nginx 配置如下：

我可以通过 nginx 访问 OCSP 响应程序，并按预期收到响应 - 没问题。问题是 nginx 不缓存响应。Nonce 不会作为请求的一部分发送。使用 Wireshark，我验证了我的所有请求都是相同的（在 HTTP 层上）。如何配置 nginx 缓存响应？

注意，我使用以下命令进行测试：

鉴于来自openssl的这个 openssl ocsp 请求

-serial 参数的含义是什么？

我一直在尝试在不同的时刻同时使用 OCSP 和 CRL 检查 iOS 7.0 中的 X.509 证书吊销状态，并且评估返回 kSecTrustResultUnspecified （这意味着证书是可信的），而无需实际检查 OCSP 或 CRL 源，只要当我通过链中的所有证书时。我在下面放了我认为相关的任何代码，请帮忙！

谢谢！

PS：ocspOnly 和 crlOnly 是布尔值，指示是否要独占使用这些撤销检查方法；certs 是一个 NSArray，包含链中除锚证书之外的所有证书；锚证书之前已正确设置。

PS-2：这里的 iOS 开发者论坛中也有人问过这个问题。

如果我知道我想要的主题或哈希，或者如果我有一个由它签名的证书，有什么方法可以从 OpenSSL 的默认存储中查找证书？

我可以验证证书（从而确定发行者在标准集中）

我可以得到我想要的主题或哈希

但我不知道如何获得颁发者证书本身。

我需要这个，所以我可以进行 OCSP 查找以查看证书是否已被吊销。

谢谢！

与 HttpsURLConnection 建立 HTTPS 连接时，我需要将自己的证书验证步骤放入 SSL 握手中。我已经编写了自己的证书验证码来验证主机证书中的某些属性，例如Certificate Revocation Status using Online Certificate Status Protocol。在 Java 中包含此步骤的正确方法是什么。我可以将它添加为默认 HostNameVerifier 的一部分，如下所示，但有没有合适的方法来做到这一点？

为什么 PDF Reader 不显示嵌入式 OCSP 响应？

我什至没有使用 crlClient：

PDF 吊销选项卡详细信息显示：

所选证书被认为是有效的，因为它没有出现在本地缓存中包含的证书吊销列表 (CRL) 中。

CRL 由“B-Trust Operational CA QES <[hidden email]>”于 2014/02/19 07:53:35 +02'00' 签署，有效期至 2014/03/21 07:53:35 + 02'00'。

我想实现图 3.8 带有嵌入式 OCSP 响应的数字签名，来自 Bruno Lowagie 的免费白皮书文档。

我做错了什么或错过了什么？

这是认证路径和示例 pdf。

最好的问候，华伦天奴

我目前在我的网站上使用 SSL 证书，但使用 GlobalSign 的在线 SSLCheck 我注意到它可以使用一些优化。对于托管，我使用 Azure 网站环境，但我不知道如何更改给定的选项。我在互联网上找不到任何如何设置这些设置的信息。

链接在这里： https ://sslcheck.globalsign.com/en/sslcheck

需要优化的选项列表：

• 服务器未启用会话恢复
• 服务器尚未启用 HTTP Strict-Transport-Security
• 服务器未配置 OCSP 装订
• 服务器不喜欢启用前向保密的密码。
• 服务器在现代浏览器中使用 RC4 密码

提前感谢您在这个问题上支持我。

我使用 PADES LTV Profile 签署文件。Signer 库是基于 Pdfbox 库编写的。

我有一个问题。

在 PADES LTV 配置文件中，最终修订必须在线签入（这意味着 OCSP 响应、CRLS 和此修订的证书不得在文档安全存储 (DSS) 中）。

为了测试，我在我的文档中添加了 12 个修订版。

每次添加新修订时，我都不会将当前修订的证书和 ocsp 响应添加到 DSS。我将以前的修订证书和 ocsp 响应添加到 DSS。我这样做是因为最后一次修订必须在线签入。所以我不能将最新版本的 OCSP 响应添加到 DSS。我这样做了，但有时 Adob​​e 读者认为最新版本在文档中 嵌入了 OCSP 响应。

问题可能在于：

每个 ocsp 响应必须是唯一的，即使我们使用相同的证书生成它们也是如此。换句话说，如果我们两次请求 ocsp 对象，它们必须是唯一的。

为此，我执行以下操作，但它不起作用：

这是测试 pdf 链接SAMPLE PDF

我可能会创建 4 个修订版，一切可能都很好......我不知道，有时会发生......当我测试时，当我创建许多修订版时会出现问题...... 最后一个修订版认为 OCSP 响应以前的版本是它自己的！

请原谅我的无知，但我正在慢慢地通过使用 bouncycastle 和密码学的部门。

我正在尝试使用 OCSP，并且正在尝试使用 bouncycastle 检查证书的吊销状态。我不明白为什么 bouncycastle 需要颁发者证书才能做到这一点？要构建 OCSPReq，我必须提供需要颁发者证书的 CertificateID 对象。重点是什么？据我了解，进行 OCSP 检查所需的只是我正在检查的证书和 OCSP 响应者的 URI……如果我错了，请纠正我。

谢谢！

我使用 Windows 2012 ADCS，并且我有一个具有 2 个节点的 OCSP 响应器集群。

OCSP 集群共享一个撤销配置。

我已经阅读了撤销配置在 Array 成员之间同步的文档，但是如果 Web 代理缓存中的条目也在成员之间同步，我无法在文档或 Google 中找到。

是这样吗？