Windows 服务器 2022 Apache x64 2.4.57 OpenSSL 3.0.8 我的 Apache SSL 配置如下: SSLUseStapling 在 SSLStaplingCache “shmcb:${SRVROOT}/logs/ssl_stapling(65536)” SSLStaplingStandardCacheTimeout 3600 SSLStaplingErrorCacheTimeout 600 但https://entrust.ssllabs.com/报告如下: 我是否遗漏了某些设置? ...
我的 apache 错误日志显示: AH01972: could not resolve address of OCSP responder ocsp.usertrust.com 主要原因是我的服务器的 nftables 阻止了任何对 Internet 的请求。 我认为 Web 服务器不应该发起任何与互联网的连接,以保证尽可能的安全。但 OCSP 装订需要 DNS 连接和从服务器到我的 CA 服务器的 http(s) 流量。 是否可以通过 nftables 仅允许来自服务器的 OSCP 请求而不是所有 http(s) 请求? 我检查了此通信,发现 OCSP...
我有多个域,它们都由同一个 NGINX 实例提供服务。我正在尝试为 HTTPS 设置通用服务器配置,以便每个域都使用自己的证书并启用 SSL 装订。这些设置定义如下default.conf: server { listen 443 default_server ssl; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:...
证书如下: Root-CA -> Intermediate-CA -> Server 如果我从根 CA 撤销中间 CA,则服务器将自动撤销证书以及中间 CA。现在,在撤销中间 CA 后,Firefox 浏览器显示中间 CA 仍然有效。 在中级 CA 证书中: crlDistributionPoints = URI:http://www.example.com/pki/root-ca.crl OCSP;URI = http://www.example.com:1212 OCSP 在终端上运行,但没有请求进入 OCSP URI。只有服务器的...
我已经生成了如下所示的证书: Root-CA -> Intermediate-CA -> Server Root-CA: rootca.key rootca.crt rootca.crl Intermediate-CA: intermediateca.key intermediateca.crt intermediateca.crl Server: server.key server.crt 此处的Root-CA签名为Root-CA自签名证书。 然后,Intermediate-CA由Root-CA和Server签字人签字Inter...
我已经生成了自签名证书,Root-CA由Root-CA 然后,Intermediate-CA由Root-CA和Server签字人签字Intermediate-CA 证书如下: Root-CA -> Intermediate-CA -> Server Root-CA: rootca.key rootca.crt rootca.crl Intermediate-CA: intermediateca.key intermediateca.crt intermediateca.crl Server: server.key server.cr...
我已经生成了如下所示的证书: Root-CA -> Intermediate-CA -> Server Root-CA: rootca.key rootca.crt Intermediate-CA: intermediateca.key intermediateca.crt Server: server.key server.crt 我的服务器的 openssl.conf: [ server_cert ] authorityInfoAccess = OCSP;URI:http://www.example.com [ ocsp ]...
我已经生成了如下所示的证书: Root-CA -> Intermediate-CA -> Server Root-CA: rootca.key rootca.crt Intermediate-CA: intermediateca.key intermediateca.crt Server: server.key server.crt 我的服务器的 openssl.conf: [ server_cert ] authorityInfoAccess = OCSP;URI:http://www.example.com [ ocsp ]...
我非常确定 SSL 证书几乎总是与域名而不是 IP 地址绑定。而且我的绝大部分流量都没有受到影响,总体来说一切运行良好。 但是,我的 php 错误日志现在充满了这样的信息(每小时会出现几个): 2022/05/13 00:35:58 [error] 79815#79815: connect() to [2606:4700:4400::ac40:9bbc]:80 failed (101: Network is unreachable) while requesting certificate status, responder:...
我们在 Windows Server 2019 上运行了 Microsoft 证书颁发机构。我们通过 MDM 向 Android 设备颁发证书。Android 设备用户使用需要客户端证书的 Chrome Web 浏览器(在 Android 上)浏览 Web 应用程序(由 Apache 托管,以 PHP 8 实现)。 我们正在安装一个具有 Microsoft OCSP Responder 角色的单独 Windows Server 2019 实例,以验证/确认提交给 Apache Web 服务器的客户端证书是否有效。Apache 有几个指令来处理 OCSP 验证...
我想从 Linux 验证 Microsoft OCSP 服务器的运行情况。我尝试使用 OpenSSL,但它总是返回: Error querying OCSP responder 140643157128320:error:27076072:OCSP routines:parse_http_line1:server response error:../crypto/ocsp/ocsp_ht.c:260:Code=405,Reason=Method Not Allowed 我检查了服务器端,发现 OpenSSL 使用 POST 方法,而不是 certutil...
我正在尝试调试为什么 Windows 不接受来自我的 OCSP 响应器的响应为有效。我正在使用命令 CertUtil -downloadOcsp .\certs .\ocsp_responses downloadonce certs 目录中有一个 p7b 证书。我实时读取了 openssl 1.1.1f OCSP 响应器的日志,我可以看到连接已建立。certutil 的输出看起来像是下载了响应。但 certutil 报告了一个错误,并且没有 ocsp 响应保存在 .\ocsp_responses 中 certutil 的输出是: 7/6/2021 2:43 ...
TL;DR; 如何发现 Windows 上 OCSP 响应出了什么问题? 我正在尝试在本地 Exchange Server 2019 中安装新证书。但 Exchange 始终报告新证书未通过吊销检查,因此不会使用它。新证书具有从新证书到中间 CA 再到我的根 CA 的信任链。当我在 certmgr.msc 中打开新证书时,我看到该链和所有证书在 certmgr 中均报告为正常。我已将我的根 CA 安装到“受信任的根证书颁发机构”存储中。我已将中间 CA 安装到“中级证书颁发机构”存储中。 新证书权限信息访问URL 指定我自己的 OCSP 响应器。我知道这不是...
我想将 OCSP 流量从常规 HTTP 流量过滤/重新路由到不同的后端。审核OCSP 协议的网络分析如果 OCSP 请求是通过 POST 发出的,我可以根据 进行过滤Content-Type: application/ocsp-request。棘手的部分是,如果 OCSP 请求是通过 GET 发出的,则 OCSP 请求是DER->Base64 encoded->urlencoded并附加到 uri。虽然 PDF 确实说明了,但如果您知道请求中的内容,则可以针对唯一值创建正则表达式。如果您有很多不同的证书,这会变得很麻烦。 我喜欢这样做的原因有以下...
是否可以openssl ocsp -index ...在 Apache/Nginx 虚拟主机和其他虚拟主机上运行 OCSP 响应器?那么 ocsp.example.com 或 pki.example.com/ocsp/ ...