如何设置 OCSP 响应器

如何设置 OCSP 响应器

我已经生成了如下所示的证书:

Root-CA  ->  Intermediate-CA  ->  Server

Root-CA:
rootca.key
rootca.crt

Intermediate-CA:
intermediateca.key
intermediateca.crt

Server:
server.key
server.crt

我的服务器的 openssl.conf:

[ server_cert ]
authorityInfoAccess = OCSP;URI:http://www.example.com

[ ocsp ]
basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature
extendedKeyUsage = critical, OCSPSigning

我的 Nginx 配置:

server {
        listen 443 ssl;
        listen [::]:443 SSL;
        server_name www.example.com;

        ssl_certificate  /home/user/conffiles/server+intermediateca.crt;
        ssl_certificate_key /home/user/conffiles/server.key;

        ssl_ocsp on;
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /home/user/conffiles/rootca+intermediateca.crt;
}

使用以下命令没有得到任何输出:

echo QUIT | openssl s_client -connect www.example.com:443 -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B 17 'Next Update'

使用以下命令:

openssl s_client -connect www.example.com:443 -tls1_2 -tlsextdebug -status

我得到以下输出:

OCSP response: no response sent

有人能告诉我如何设置 OCSP 响应器吗?

请帮助我,我需要修复这个错误。感谢您的时间。谢谢。

答案1

如何设置 OCSP 响应器?

维基百科列出了几种 OSCP 响应器的实现这里. 每个服务器都有各自特定的安装和配置说明。

为了测试目的openssl ocsp 实现可能是一个有用的轻量级解决方案。
手册列出了几个使用示例,包括:

OCSP 服务器在端口 8888 上使用标准 CA 配置和单独的响应者证书。所有请求和响应都打印到文件中。

openssl ocsp -index demoCA/index.txt -port 8888 -rsigner rcert.pem -CA demoCA/cacert.pem -text -out log.txt

如上所述,但在处理一个请求后退出:

openssl ocsp -index demoCA/index.txt -port 8888 -rsigner rcert.pem -CA demoCA/cacert.pem -nrequest 1

相关内容