OCSP "globale" con Apache mod_ssl / Alternativa all'opzione -VAfile Openssl

Naviga le tue risposte
2

Contesto

Sto sviluppando il mio risponditore OCSP che ha firmato le sue risposte ocsp con il proprio certificato autofirmato caOcspBC.crt. Puoi trovarlo qui: link Voglio ottenere lo stato di revoca da un certificato RC.crt emesso da un certificato CA CA.crt grazie a openssl.

Tutti i miei certificati si trovano qui: link

Quindi, eseguo questo primo comando dove mi fido esplicitamente del mio certificato ocsp grazie all'opzione -VAfile:

# openssl ocsp -issuer CA.crt -VAfile caOcspBC.crt -cert RC.crt -req_text -url http://responderurl:port/myServlet OCSP Request Data: Version: 1 (0x0) Requestor List: Certificate ID: Hash Algorithm: sha1 Issuer Name Hash: 19266539D5B4B518D4382B2D3779CBF53A6061D6 Issuer Key Hash: 89B91685082EF65F5611F965E94422D602BE27DB Serial Number: 0A Request Extensions: OCSP Nonce: 04106D042BFA97BFA61F5AAAD756C5619CF2 Response verify OK RC.crt: good This Update: May 19 14:51:51 2014 GMT

Funziona bene.

Se non utilizzo l'opzione -VAfile, ottengo:

# openssl ocsp -issuer CA.crt -cert RC.crt -req_text -url http://responderUrl:port/myServlet OCSP Request Data: Version: 1 (0x0) Requestor List: Certificate ID: Hash Algorithm: sha1 Issuer Name Hash: 19266539D5B4B518D4382B2D3779CBF53A6061D6 Issuer Key Hash: 89B91685082EF65F5611F965E94422D602BE27DB Serial Number: 0A Request Extensions: OCSP Nonce: 0410C8D048BB5A49596A7714B4D74935E3C5 Response Verify Failure 140451402069696:error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:ocsp_vfy.c:126:Verify error:unable to get local issuer certificate RC.crt: good This Update: May 19 14:52:09 2014 GMT

Non funziona. In effetti il mio client openssl non si fida del mio certificato ocsp.

Problema

Ma voglio usare Apache mod_ssl con il mio OCSP generico, e non c'è alcuna mappatura direttiva per l'opzione -Visualizza - > Non riesco a specificare i certificati del risponditore di fiducia.

Domanda

Che cosa posso fare per fare in modo che il mio apache si fidi del certificato di risponditore OCSP autofirmato?

Contesto extra

Ho provato molte cose:

  • Ho importato il mio certificato autofirmato caOcspBC.crt in / etc / ssl / certs usando questo: link (link simbolico) Non ha funzionato (lo stesso errore è stato menzionato in precedenza ocsp_vfy.c: 126: verifica errore: impossibile ottenere il certificato emittente locale)

  • Negli stati della documentazione di openssl ocsp:

    If the OCSP responder is a ''global responder'' which can give details about multiple CAs and has its own separate certificate chain then its root CA can be trusted for OCSP signing. For example: openssl x509 -in ocspCA.pem -addtrust OCSPSigning -out trustedCA.pem Alternatively the responder certificate itself can be explicitly trusted with the -VAfile option.

Quindi, ho eseguito questo comando sul mio certificato autofirmato e poi l'ho inserito in / etc / ssl / certs come menzionato in precedenza.

Non ha funzionato (lo stesso errore è stato menzionato in precedenza ocsp_vfy.c: 126: verifica errore: impossibile ottenere il certificato emittente locale)

    
posta Dinou 14.05.2014 - 10:17
fonte

1 risposta

1

Domanda

Che cosa posso fare per fare in modo che il mio apache si fidi del certificato di risponditore OCSP autofirmato?

Rispondi

Innanzitutto, il certificato autofirmato deve avere le seguenti proprietà:

  • KeyUsage: digitalSignature, nonRepudiation, keyEncipherment, keyCertSign
  • ExtendedKeyUsage: OCSPSigning
  • BasicConstraints: critical, CA: TRUE, pathlen: 0

Deve essere in formato pem.

Quindi, applica il seguente comando al certificato: 

openssl x509 -in selfSignedCert.pem -addtrust OCSPSigning -out trusted.pem

E infine aggiungilo al file specificato in ssl.conf in Apache mediante la direttiva SSLCACertificateFile

    
risposta data 19.06.2014 - 15:30
fonte

Leggi altre domande sui tag

Esiste uno standard FIPS 181 per la generazione casuale di password con seed alfanumerici? Protezione dell'API REST a cui si accede da diversi client