全面的
我正在尝试在 CentOS 7 上用 OpenSSL 设置私有 PKI。除了 OCSP 响应中缺少“下次更新”行的问题外,一切正常。
系统
- 操作系统:CentOS 7.6
- OpenSSL 1.0.2k-fips
综合征
当我在本地针对 OCSP 响应器测试来自此 PKI 的 TLS 证书时,我得到以下结果:
响应验证OK certs/abc.com.pem:好 本次更新:2019 年 9 月 24 日 18:04:31 GMT
我在网上搜索了很多例子那里显示下次更新OCSP 响应中的行紧挨着行This Update
。例如
openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp.digicert.com wikipedia.pem:很好 本次更新:2014 年 4 月 9 日 08:45:00 GMT 下次更新:2014 年 4 月 16 日 09:00:00 GMT
在与 HAProxy OCSP 装订一起使用之前,这不是一个大问题。HAProxy OCSP 装订似乎不接受没有“Next Update”行的 OCSP 响应。
问题
有人知道为什么此处的 OCSP 响应中缺少“下次更新”行吗?如何将此行包含在 OCSP 响应中?
我尝试在 Ubuntu 18.04 LTS 上使用其附带的 OpenSSL 包,但遇到了同样的问题。
谢谢!
答案1
来自第 4.2.2.1 节RFC 6960 - X.509 互联网公钥基础设施在线证书状态协议 - OCSP:
如果未设置 nextUpdate,则响应者表示更新的撤销信息始终可用。
同时,RFC 5019 - 适用于高容量环境的轻量级在线证书状态协议 (OCSP) 配置文件说:
下次更新
有关证书状态的更新信息将在此时间或之前可用。响应者必须始终包含此值以帮助响应缓存。
因此看起来您的客户端需要一个轻量级的 OCSP 响应器。
快速浏览一下 OpenSSL OCSP 手册页,就会看到以下内容:
-nmin 分钟,-ndays 天
新的撤销信息可用的分钟数或天数:用于 nextUpdate 字段。如果两个选项都不存在,则省略 nextUpdate 字段,这意味着新的撤销信息可立即使用。
尝试-nmin 5
在启动 OpenSSL OCSP 服务时添加或类似于命令行。