问题标签 [ocsp]

设置这些属性真的足以启用 OCSP 吗？

如果是这样，那为什么我们需要充气城堡 OCSP 支持而不是仅仅设置这个属性呢？

为了测试 ocsp 实现，我需要一个 ocsp 响应器。是否有任何现成的响应者用于测试目的？或者有什么方法可以在本地主机上运行一些响应器？

在这里，我实现了 X509TrustManager 信任管理器，并尝试将适当的检查调用委托给在运行时找到的 x509 信任管理器。我的问题是我为OCSP设置的属性是否足以确保 Java 在验证证书链时也会执行 OCSP？换句话说，如果设置了属性，checkServerTrusted()方法会自行处理吗？

我想用 itextsharp 签署 PDF 文件。从现在开始，我将 CRL 嵌入到签名中。这使我的 PDF 变得非常庞大。一个 300 KB 的 PDF 的大小超过了 1 MB。

所以我决定嵌入 OCSP 响应而不是 CRL。

这是特定的代码：

如果我是对的：为了获得启用 LTV 的签名，所有证书（根证书除外）的 OCSP 响应都必须嵌入到签名中。但是如果我使用上面的代码，只有签名证书的 OCSP 响应被嵌入到签名中。如果我在 Adob​​e Reader 中打开 PDF，则会在线检查 CA-Cert。所以签名不是 LTV 启用的。

谁能告诉我如何将多个 OCSP 响应嵌入到签名中？

非常感谢您的帮助！！

目前，我有一个实现，我在verify_callback(int preverify_ok, X509_STORE_CTX *x509_ctx)函数中为每个中间和最终实体证书发送一个 OCSP 请求。使用verify_callback函数设置SSL_CTX_set_verify()函数。

现在，我想将 OCSP 装订添加到我的实现中。我在使用 OCSP 装订的客户端程序中看到了有关如何包含 OCSP 装订的帖子OpenSSL 证书吊销检查。

添加上述 OCSP 回调的问题是第verify_callback()一个在 OCSP 装订回调函数之前被调用。

我的问题是我如何才能同时拥有它们，如果服务器没有 OCSP 装订响应，那么客户端将自己发送 OCSP 请求。

有没有办法在我们达到功能之前检查是否支持 OCSP 装订verify_callback()？

我正在尝试验证 OCSP 服务器上的客户端证书，但它失败了。

这是我试图运行的命令：

这是输出：

我检查了我的客户端证书中的颁发者与 test_ca_cert.pem 中的颁发者相同。

我究竟做错了什么？我怎样才能解决这个问题？

谢谢

据我所知，应在证书链验证期间验证每个证书的吊销，以保护连接免受 MITM 攻击。

据我了解，出于这个原因，我应该使用 CRL/CRL deltas 或 OCSP。我是这个领域的新手，但即使在阅读了一些相关的 RFC（但不是那么仔细）之后，我也不知道如何实际使用/检查撤销。

1. 什么样的协议被广泛用作 OCSP“传输层”——我只知道 HTTP——还有其他有竞争力的替代方案，现代客户端应该支持哪些？

2. 如果我理解正确，CA 将在每个证书中指向可以找到 CRL 的位置（根 CA / 自签名除外）（在“CRL 分发点”列表中？），所以要实现严格的客户端，我应该在证书链握手期间下载 CRL。我知道可以为此目的使用 HTTP 和 LDAP - 还有其他有竞争力的替代方案，现代客户端需要支持吗？用于此目的的 LDAP 仍然很常见（或者这可能只是遗留问题）？

3. 是否以 CRL 方式检测它的有效期，所以我可以以某种方式缓存它以进行进一步的连接吗？

4. 是否有实用的方法可以使用 CRL“离线”工作？据我了解，要让它正常工作，我应该为世界上每个可能的 CA 下载（和更新）CRL，这比“在线”这样做需要更多的资源/努力。

5. 典型的证书链有多深？例如。例如，链中可能有超过 10 个证书？

6. boost asio 是否以某种方式原生支持 CRL 和/或 OCSP？我需要自己做这个吗？

7. botan 如何为证书链实施 CRL“在线”验证？也许它是开箱即用的（因为实施了 OCSP）？

8. 这两种方法都应该支持，或者大多数 CA 使用 OCSP 并且 CRL 仅由他们定义，仅出于旧版 sw 支持的原因？如果我只想连接到 95% 的服务器，那么我只需要实现 OCSP 而不关心 CRL 并拒绝使用 OCSP 无法验证的证书吗？或者也许对 OCSP 的支持相对较少？我发现 ocsp 支持 EV 证书，但不支持 OV 和 DV。真的吗？

9. 也许我应该通过 OCSP 和 CRL 检查撤销。一个“首选”可用就足够了，还是我都需要？

我一直在引用https://github.com/openssl/openssl/blob/master/apps/ocsp.c来​​创建我自己的 OCSP 实现，并在我从 OCSP 响应者那里收到 OCSP 基本响应后验证它。但不知何故，我运行的每次迭代，我都会不断收到错误error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:ocsp_vfy.c:138:Verify error:unable to get issuer certificate。请注意，我有要验证的证书和颁发者证书的 X509 数据，我正在使用以下代码来验证响应：

对于上面的代码，我一直得到ret_val0 并且上面提到的错误正在被记录。但是，我从 OCSP 响应者那里得到了正确的响应，并且证书状态良好。唯一剩下的就是修复对OCSP_basic_verify. 有人可以指出我可能出错的地方吗？谢谢。

在对 Ubuntu 上运行的 nginx Web 服务器进行更改时，我测试了 nginx 配置并收到以下警告：

nginx：[警告]“ssl_stapling”被忽略，在 OCSP 响应程序“ocsp.int-x3.letsencrypt.org/”中找不到主机

几个月前我设置了 Web 服务器，并且一直在更新 nginx 配置，直到昨天才看到这个警告。

我开始四处寻找并使用 openssl 测试 OCSP。

我运行了以下命令：

结果如下

该网站似乎工作正常。

我找不到有关该错误的太多信息。我不知道发生了什么变化。

谢谢。

我需要使用 OCSP 使用 http 代理验证 X509 证书。这是我的代码：

我知道，我可以使用 System.setProperty("http.proxy", "...") 设置代理，但我只需要为我的请求设置它，而不是为整个系统设置它。