我有一个在 Windows Server 2012 中的 IIS 中使用 ocsp_uri 配置的证书。
当我测试服务器的 oscp 装订时没有响应:
openssl s_client -connect example.com:443 -tls1 -tlsextdebug -status
OCSP response: no response sent
当我从服务器测试对 ocsp 响应器的访问时:
openssl ocsp -issuer sub.class1.server.ca.pem -cert ssl.crt -text -url http://ocsp.startssl.com/sub/class1/server/ca -header "HOST" "ocsp.startssl.com"
我得到了回应。(请求需要是 http/1.1)
我如何检查为什么 IIS 没有返回 ocsp 装订?
答案1
“授权信息访问 (AIA)”字段中是否有编码的 OCSP 响应器 URL,其中“访问方法”是“在线证书状态协议”?这是早期版本的 IIS 中 OCSP 装订工作的要求。另一项规定是确保没有防火墙或防火墙配置为允许从服务器向 OCSP 响应器发出 OCSP 请求。