问题

问题

全面的

我正在尝试在 CentOS 7 上用 OpenSSL 设置私有 PKI。除了 OCSP 响应中缺少“下次更新”行的问题外,一切正常。

系统

  • 操作系统:CentOS 7.6
  • OpenSSL 1.0.2k-fips

综合征

当我在本地针对 OCSP 响应器测试来自此 PKI 的 TLS 证书时,我得到以下结果:

响应验证OK
certs/abc.com.pem:好
        本次更新:2019 年 9 月 24 日 18:04:31 GMT

我在网上搜索了很多例子那里显示下次更新OCSP 响应中的行紧挨着行This Update。例如

openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp.digicert.com
wikipedia.pem:很好
    本次更新:2014 年 4 月 9 日 08:45:00 GMT
    下次更新:2014 年 4 月 16 日 09:00:00 GMT

在与 HAProxy OCSP 装订一起使用之前,这不是一个大问题。HAProxy OCSP 装订似乎不接受没有“Next Update”行的 OCSP 响应。

问题

有人知道为什么此处的 OCSP 响应中缺少“下次更新”行吗?如何将此行包含在 OCSP 响应中?

我尝试在 Ubuntu 18.04 LTS 上使用其附带的 OpenSSL 包,但遇到了同样的问题。

谢谢!

答案1

来自第 4.2.2.1 节RFC 6960 - X.509 互联网公钥基础设施在线证书状态协议 - OCSP

如果未设置 nextUpdate,则响应者表示更新的撤销信息始终可用。

同时,RFC 5019 - 适用于高容量环境的轻量级在线证书状态协议 (OCSP) 配置文件说:

下次更新

有关证书状态的更新信息将在此时间或之前可用。响应者必须始终包含此值以帮助响应缓存。

因此看起来您的客户端需要一个轻量级的 OCSP 响应器。

快速浏览一下 OpenSSL OCSP 手册页,就会看到以下内容:

-nmin 分钟,-ndays 天

新的撤销信息可用的分钟数或天数:用于 nextUpdate 字段。如果两个选项都不存在,则省略 nextUpdate 字段,这意味着新的撤销信息可立即使用。

尝试-nmin 5在启动 OpenSSL OCSP 服务时添加或类似于命令行。

相关内容