Ho configurato correttamente il risponditore OCSP OpenSSL con questa gerarchia: RootCA > Risponditore OCSP (firmato da RootCA).
Ho implementato un punto di fiducia (denominato RootCA ) nell'ASA con la chiave pubblica RootCA. Quindi mi aspetto che ASA sia considerato affidabile per OCSP, perché è considerato affidabile da RootCA che ha una chiave OCSP firmata. Ma sembra che non lo sia. A causa della connessione client VPN che ho.
CRYPTO_PKI: Blocking chain callback called for OCSP response <...> status: 2
Ottengo il messaggio di debug sopra, che indica un problema con il firmatario del certificato, secondo BRKSEC-3053
Quindi, ho importato la chiave OCSP in un attend point separato (denominato OCSP ) e ho creato una mappa di certificati con una regola OCSP di sostituzione. La gerarchia dei controlli di revoca ora si presenta così:
Client VPN > RootCA > mappa dei certificati > Responder OCSP.
Con questo schema, le risposte OCSP sono attendibili e il controllo di revoca è stato completato con successo.
Le mie domande sono:
- Abbiamo davvero bisogno di un attend point separato per la chiave di firma OCSP?
- O questo comportamento è previsto con l'implementazione del risponditore OCSP in OpenSSL?
- O forse mi è sfuggito qualcosa di importante?
Grazie!