Contesto
Sto sviluppando il mio risponditore OCSP che ha firmato le sue risposte ocsp con il proprio certificato autofirmato caOcspBC.crt. Puoi trovarlo qui: link Voglio ottenere lo stato di revoca da un certificato RC.crt emesso da un certificato CA CA.crt grazie a openssl.
Tutti i miei certificati si trovano qui: link
Quindi, eseguo questo primo comando dove mi fido esplicitamente del mio certificato ocsp grazie all'opzione -VAfile:
# openssl ocsp -issuer CA.crt -VAfile caOcspBC.crt -cert RC.crt -req_text -url http://responderurl:port/myServlet
OCSP Request Data:
Version: 1 (0x0)
Requestor List:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: 19266539D5B4B518D4382B2D3779CBF53A6061D6
Issuer Key Hash: 89B91685082EF65F5611F965E94422D602BE27DB
Serial Number: 0A
Request Extensions:
OCSP Nonce:
04106D042BFA97BFA61F5AAAD756C5619CF2
Response verify OK
RC.crt: good
This Update: May 19 14:51:51 2014 GMT
Funziona bene.
Se non utilizzo l'opzione -VAfile, ottengo:
# openssl ocsp -issuer CA.crt -cert RC.crt -req_text -url http://responderUrl:port/myServlet
OCSP Request Data:
Version: 1 (0x0)
Requestor List:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: 19266539D5B4B518D4382B2D3779CBF53A6061D6
Issuer Key Hash: 89B91685082EF65F5611F965E94422D602BE27DB
Serial Number: 0A
Request Extensions:
OCSP Nonce:
0410C8D048BB5A49596A7714B4D74935E3C5
Response Verify Failure
140451402069696:error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:ocsp_vfy.c:126:Verify error:unable to get local issuer certificate
RC.crt: good
This Update: May 19 14:52:09 2014 GMT
Non funziona. In effetti il mio client openssl non si fida del mio certificato ocsp.
Problema
Ma voglio usare Apache mod_ssl con il mio OCSP generico, e non c'è alcuna mappatura direttiva per l'opzione -Visualizza - > Non riesco a specificare i certificati del risponditore di fiducia.
Domanda
Che cosa posso fare per fare in modo che il mio apache si fidi del certificato di risponditore OCSP autofirmato?
Contesto extra
Ho provato molte cose:
-
Ho importato il mio certificato autofirmato caOcspBC.crt in / etc / ssl / certs usando questo: link (link simbolico) Non ha funzionato (lo stesso errore è stato menzionato in precedenza ocsp_vfy.c: 126: verifica errore: impossibile ottenere il certificato emittente locale)
-
Negli stati della documentazione di openssl ocsp:
If the OCSP responder is a ''global responder'' which can give details about multiple CAs and has its own separate certificate chain then its root CA can be trusted for OCSP signing. For example: openssl x509 -in ocspCA.pem -addtrust OCSPSigning -out trustedCA.pem Alternatively the responder certificate itself can be explicitly trusted with the -VAfile option.
Quindi, ho eseguito questo comando sul mio certificato autofirmato e poi l'ho inserito in / etc / ssl / certs come menzionato in precedenza.
Non ha funzionato (lo stesso errore è stato menzionato in precedenza ocsp_vfy.c: 126: verifica errore: impossibile ottenere il certificato emittente locale)