问题标签 [ocsp]

据我所知，正如这里提到的，浏览器有两种主要技术可以检查特定证书的吊销状态：使用在线证书状态协议 (OCSP) 或在证书吊销列表 (CRL) 中查找证书.

好吧，我知道有一些在线 OCSP 服务器或 OCSP 方法，浏览器会在那里发送请求以检查传入的证书是否被吊销，但我对 CRL 没有任何想法。

1. CRL 在哪里？它是我系统中的一个在 OCSP 请求后更新的文件，还是我试图连接的 Web 服务器中的一个列表？
2. 谁更新它？
3. OCSP 服务器如何检查吊销？（我的意思是它如何更新其撤销证书的数据库？）

请注意，我知道我可以certutil -urlcache crl在命令行中看到 CRL 的缓存。但它是它的缓存！真正的文件在哪里？

我在 Ubuntu 上使用 dirmngr 服务。运行服务时，我在日志文件中看到以下错误：

此外，在运行守护程序时，输出如下：

知道为什么吗？

谢谢。

对这个有点绝望……

我正在实施 OCSP 检查服务，主要基于这两个示例： http ://docs.ruby-lang.org/en/2.2.0/OpenSSL/OCSP.html
如何以编程方式检查证书是否已被吊销？

我已经通过 openssl 客户端验证了我的请求的有效性：

这给了我：

使用 ruby​​ 的 openssl api 时，我也得到了肯定的响应，200 OK

但是，一旦我想验证响应，我就会得到

所以这是我尝试验证响应的方法：

当我尝试双重添加证书时，我确实得到了预期的错误：

我不知道如何排除故障，因为我不擅长阅读这些功能的来源。这引出了我的问题： 1. 有没有办法转储和分析所述哈希表的内容，所以我可以确定加载了正确的证书？2.我在这里遗漏了一些明显的东西吗？

感谢您的任何意见和反馈。

仅供参考，我尝试验证证书的系统是爱沙尼亚身份证证书中心的 ocsp 响应者。

我目前使用 Netty 3.9.5，我想使用 OCSP（在线证书状态协议）来验证 PKI 证书。我只找到了使用本地密钥库来检查证书身份验证的 Java 示例。由于我是 SSL/TLS 世界的新手，我希望这是我缺乏知识。Netty 3.x 或 4.x 是否支持使用 OCSP，还是我需要自己添加？有没有支持 OCSP 的 NIO 框架？

我正在使用 Nginx 创建安全连接；当我撤销客户端证书时，我也可以通过 https 连接到 Nginx，我知道我应该配置 ssl_crl 指令，但是我想使用 OCSP 来验证客户端证书，我该怎么办？我发现 Nginx 使用 OpenSSL 库建立 ssl 连接，我应该对 openssl.cnf 文件做些什么吗？

如果我设置Security.setProperty("ocsp.enable", "true")，SSLSocketorSSLServerSocket连接是否会使用 OCSP 自动检查证书吊销？

创建套接字时是否必须手动进行 OCSP 检查？（我没有使用 CRL。）

Is the AuthorityInfoAccess field mandatory in x509v3? I have some certificates, and I'm trying to do OCSP verification, but they don't seem to have this field when I do

I was wondering if it's not in that output does that mean it's not there?

我不想使用这个库（https://github.com/indutny/ocsp），因为它对我的证书做了一些非标准的假设。

假设我有我需要的哈希值，我想知道如何使用它https.request function来手动创建 OCSP 请求。基本上，您传入的 OCSP 请求对象中需要哪些字段https.request？

互联网似乎对身体应该是什么样子感到模糊。

我有一个超级代理，我正在尝试设置内容类型。

但是，我不断在它说的地方遇到这个崩溃

TypeError：第一个参数必须是字符串或缓冲区

我想知道是否有人有任何想法。

当我删除类型字段时，它就会通过。

我想验证（在启用的服务器上）HTTPS 连接上的服务器证书。

我的问题是我了解它是如何工作的，但我找不到 Android 的参考实现。我已经在考虑自己将 TLS 扩展添加到握手中，但我在那个方向上也没有发现任何东西。

如果有人在该主题方面有经验，我会很高兴有一些指向正确方向的最佳实践。