问题标签 [ocsp]

我正在尝试使用 OCSP 验证用户配置 OpenAM 12.0.0 Build 8410。根据文档，openam 应该从我的证书的 AIA 中提取 ocsp 响应者地址。但是，在我的情况下，它没有拉，仍然给出 CertPath:verify failed 错误。我缺少任何必需的配置吗？一种解决方法是将所有 OCSP 响应程序 URL 放入默认服务器和站点配置中。但这失败了，因为我不知道可以在现场使用适当的分隔符。谢谢。

在我的 wp8 应用程序中，

1. 我进入一个由通信运营商运营的开放式 wifi
2. 被需要使用帐户和密码登录的门户页面阻止
3. 在我将一些数据发布到https url之后
4. 我有能力使用 wifi 网络自由访问互联网。

现在，我遇到一个问题：
在https连接建立成功之前，它会运行在线证书状态协议（OCSP）
OCSP需要像veriSign一样访问CA来验证服务器证书状态

但我目前无法访问互联网。

因此，我的应用程序返回了一个 Webexception，其描述为“远程服务器返回错误：未找到”。我认为这是因为 OCSP 失败。
基于以上，我想找到一个解决方案来解决这个问题：

1. 我的意思是禁用OCSP机制，你知道怎么做吗？
2. 而且我也想知道是否有另一种解决方案来解决这个问题。

希望您的建议，谢谢！

我目前正在开发一个使用 OCSP 或 CRL 验证签名证书（如 pdf 格式）的应用程序。这些很可能是叶证书，没有整个链。事实证明，获取任一验证服务的 URL 都很简单。

据我了解，OCSP 和 CRL 都需要证书的颁发者对其进行验证。所以现在我被卡住了，因为输入中不包含它。AIA 扩展可能包含指向 CA 证书的 URL，但不幸的是，这是颁发证书的 CA，而不是证书本身。

有没有其他方法可以获得仅给出叶子的发行人证书？还是在某些情况下 OCSP/CRL 可以在没有它的情况下进行验证？

我不是 OpenSSL 专家，但我一直在尝试编写一些代码来处理连接到 SSL 安全服务器的客户端的 OCSP 装订。我对 OCSP 的理解是，它是用来证明所出示的证书没有被吊销的，这意味着我不需要处理管理颁发者发布的 CRL。

我使用 SSL_CTX_set_verify 设置回调以处理证书验证（嗯，处理 OpenSSL 自己的内部验证过程的异常。我假设，但找不到肯定的证据证明这个内部过程不检查证书的吊销状态），目前我的代码利用这个机会来检查发行者是否受信任（或者如果不是，那么发行者的发行者是受信任的，依此类推，直到链受信任或被拒绝），以及证书未过期等其他事项. （这也可能已经检查过了，但这对我的问题并不重要）。

我修改了我的代码，添加

然后我可以得到响应并在处理程序中检查它。到目前为止，一切都很好！

但奇怪的是，在获得 SSL_CTX_set_verify 处理程序后，我得到了 OCSP 回调。对于我（诚然天真的）想法，这意味着我有两个选择：

1）在验证回调中检查撤销状态，使用 CRL，或者做我自己的 OCSP 请求。如果我这样做，那么在 OCSP 回调中做任何事情都没有意义，因为我已经确定了证书的吊销状态 2) 不要在验证回调中检查吊销状态，并疯狂地希望 OCSP 处理程序是叫。

我确实注意到，如果来自服务器的响应不包含装订的 OCSP 消息，则在验证处理程序之前调用 OCSP 处理程序。所以一种可能性是我最初将某个标志“no_ocsp”设置为 0，然后如果我得到没有附加消息的 OCSP 回调，则将其设置为 1。然后在验证处理程序中，我可以检查它以尝试确定稍后将调用 OCSP 处理程序。这看起来有点像一辆在任何人靠近时自动解锁的汽车，然后如果靠近的人插入错误的钥匙，它就会自动锁定——换句话说，它肯定不是做安全的“正确”方式吗？！

因此，我必须对如何使用 OCSP、OpenSSL 或两者都有一些基本的误解！我究竟做错了什么？

（我已经看到了类似的问题，这些问题解释了如何获取OCSP 装订的消息，但我的问题与您如何以合理的方式实际使用它有关，考虑到回调的顺序。要清楚：我可以在没有 OCSP_RESPONSE 的情况下获得任何问题）

我正在开发自己的OCSP响应器。

首先，我只想向我的响应者发送OCSP请求openssl并收到正确的答案。

我有一个 CA 证书CA.crt和它的儿子RC.crt。我想检查RC.crt.

我的响应者使用自己的自签名证书（OCSPSigning 密钥用法...）caOcsp.pem 对响应进行签名。（在 RFC2560 中写到“用于签署响应的密钥必须属于以下之一……一个受信任的响应者，其公钥被请求者信任……

所以我只是这样做：

在 openssl 文档中：

我忘记了什么？怎么了？

我正在寻找在C#或Java中实现将CRL与RFC5280中描述的增量 CRL相结合的算法。

我正在使用葡萄牙 eID智能卡“Cartão de Cidadão”和其他具有CRL和delta-CRL的身份验证证书的类似令牌进行Web 身份验证。

在我们的系统中，出于非常具体的安全原因，我们不使用SSL重新协商（ Web 应用程序也用于公民当前支持，并且用户代理的SSL身份验证强制在每个不同身份验证之间系统地关闭所有实例）。

我们正在使用OCSP，但现在我们还必须在某些特定情况下使用CRL和delta CRL以编程方式检查证书的有效性。

谁能指导我一条正确的道路以避免重新发明轮子？

从 Java 1.7.0_51 开始，Java webstart 拒绝运行未经受信任机构签名的应用程序。现在我们的应用程序由证书签名，该证书本身由受信任的 CA 签名。但是，我们仍然收到无法检查证书吊销状态的警告。

在我看来，证书没有指定 OCSP 响应者 URI。但是必须在哪里指定这个 OCSP 响应者 URI？在用于签署应用程序的证书中？在颁发我们证书的 CA 证书中？同时？

好的，所以我有一个看起来像这样的多层 ca 系统：

-ROOT_CA

----中级_CA

--------中级_CA2

------------客户证书...

我在 middle_CA2 上设置了一个 OCSP 响应器，它的启动方式如下：

在客户端，我发出这样的 ocsp 请求：

请注意，client.crt 只是客户端证书，而不是整个链，尽管我已经尝试了两种方法，但都没有工作。它总是返回

如果我更改-cert client.crt为-serial 0xXXXXXXXXX（显然传递了一个与 client.crt 对应的有效序列），那么一切都适用：

奇怪的是，如果我检查第一个示例中的请求，它确实发送了正确的序列号。

我这辈子都想不通。有任何想法吗？

我已阅读有关该主题的所有白皮书，成功签署认证并在我的 pdf 文档上加盖时间戳，但是当我想要撤销时会出现混乱。当我没有在我的签名属性/吊销中实现 crl 或 ocsp 时，我得到 ocsp 吊销检查是在线完成的。如果我实现 crl，我会得到这个：

如果我同时实现 ocsp 或 ocsp 和 crl，我会得到：

我的问题是：在我的情况下 ocsp 显然具有优先级，这应该取决于我的 CA，在这种情况下 Start Com 类 1，对吗？这是实现两者的好方法吗（因为看起来我只能看到 ocsp 甚至面团我都实现了）。为什么在这两种情况下，检查撤销按钮都是灰色的？我错过了什么？

我正在尝试将 OCSP 响应添加到我使用 CmsSignedDataGenerator 与 Bouncy Castle 签署的 PDF 文档

我想我正确地嵌入了 OCSP 响应，但是当我在 Adob​​e Reader 11（离线）中打开文档并检查签名属性 > 显示签名者的证书 > 吊销 > 遇到的问题时，我看到了这个错误：

OCSP 响应解析错误：

BER解码时遇到错误：

Adobe Reader 没有为我提供有关此错误的更多信息，我不知道在哪里搜索。有谁知道为什么 Adob​​e 在解码 OCSP 响应时遇到问题，或者我怎样才能获得更具体的信息？

这是我要验证的 PDF。

任何形式的帮助将不胜感激
谢谢