Dies ist der Befehl ocspssl, der beim kostenlosen Hosting-Anbieter OnWorks mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, dem Windows-Online-Emulator oder dem MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
ocsp – Dienstprogramm für das Online-Zertifikatstatusprotokoll
ZUSAMMENFASSUNG
openssl ocsp [-aus Datei] [-Aussteller Datei] [-zertifikat Datei] [-Serie n] [-Unterzeichner Datei] [-Zeichenschlüssel
Datei] [-sign_other Datei] [-no_certs] [-req_text] [-resp_text] [-Text] [-reqout Datei]
[-respout Datei] [-reqin Datei] [-respin Datei] [-nonce] [-no_nonce] [-URL URL] [-Wirt
Gastgeber:n] [-Pfad] [-CApath dir] [-CA-Datei Datei] [-no_alt_chains]] [-VA-Datei Datei]
[-Gültigkeitszeitraum n] [-status_age n] [-überprüfen] [-verify_other Datei] [-trust_other]
[-no_intern] [-no_signature_verify] [-no_cert_verify] [-keine Kette] [-no_cert_checks]
[-no_explicit] [-Hafen num] [-Index Datei] [-CA Datei] [-Unterzeichner Datei] [-rkey Datei] [-rother
Datei] [-resp_no_certs] [-nmin n] [-ntage n] [-resp_key_id] [-nAnfrage n] [-md5|-sha1|...]
BESCHREIBUNG
Das Online Certificate Status Protocol (OCSP) ermöglicht Anwendungen die Ermittlung des
(Sperr-)Status eines identifizierten Zertifikats (RFC 2560).
Das ocsp Der Befehl führt viele häufige OCSP-Aufgaben aus. Es kann zum Ausdrucken von Anfragen und verwendet werden
Antworten, Anfragen erstellen und Anfragen an einen OCSP-Responder senden und sich wie ein Mini verhalten
OCSP-Server selbst.
OCSP KLIENT OPTIONAL
-aus Dateinamen
Geben Sie den Namen der Ausgabedatei an. Standard ist die Standardausgabe.
-Aussteller Dateinamen
Dies gibt das aktuelle Ausstellerzertifikat an. Diese Option kann mehrfach verwendet werden.
Das in angegebene Zertifikat Dateinamen muss im PEM-Format vorliegen. Diese Option MUST macht wie die
vor allen -zertifikat Optionen.
-zertifikat Dateinamen
Fügen Sie das Zertifikat hinzu Dateinamen zur Anfrage. Das Ausstellerzertifikat stammt aus dem
früher Emittent Option, oder es tritt ein Fehler auf, wenn kein Ausstellerzertifikat angegeben ist.
-Serie num
Gleich wie die cert Option außer dem Zertifikat mit Seriennummer num wird dem hinzugefügt
Anfrage. Die Seriennummer wird als Dezimalzahl interpretiert, es sei denn, sie wird vorangestellt 0x.
Negative ganze Zahlen können auch angegeben werden, indem dem Wert ein vorangestellt wird - Schild.
-Unterzeichner Dateinamen, -Zeichenschlüssel Dateinamen
Signieren Sie die OCSP-Anfrage mit dem im angegebenen Zertifikat Unterzeichner Option und die
privater Schlüssel, der vom angegeben wird signkey Möglichkeit. Wenn die signkey Option ist dann nicht vorhanden
Der private Schlüssel wird aus derselben Datei wie das Zertifikat gelesen. Wenn keine Option vorhanden ist
angegeben, ist die OCSP-Anfrage nicht signiert.
-sign_other Dateinamen
Zusätzliche Zertifikate, die in die signierte Anfrage aufgenommen werden sollen.
-nonce, -no_nonce
Fügen Sie einer Anfrage eine OCSP-Nonce-Erweiterung hinzu oder deaktivieren Sie das OCSP-Nonce-Hinzufügen. Normalerweise wenn
Eine OCSP-Anfrage wird mit eingegeben antworte Option wird keine Nonce hinzugefügt: mit der Nuntius
Option erzwingt das Hinzufügen einer Nonce. Wenn eine OCSP-Anfrage erstellt wird (mit
cert und seriell Optionen) wird automatisch eine Nonce hinzugefügt, die Folgendes angibt no_nonce Überschreibungen
Dies.
-req_text, -resp_text, -Text
Drucken Sie die Textform der OCSP-Anfrage, -Antwort oder beider aus.
-reqout Datei, -respout Datei
Schreiben Sie die DER-codierte Zertifikatsanforderung oder Antwort auf Datei.
-reqin Datei, -respin Datei
Lesen Sie die OCSP-Anfrage- oder Antwortdatei aus Datei. Diese Optionen werden bei OCSP-Anfrage ignoriert
oder die Antworterstellung wird durch andere Optionen impliziert (z. B. mit seriell, cert und
Gastgeber Optionen).
-URL responder_url
Geben Sie die Responder-URL an. Es können sowohl HTTP- als auch HTTPS-URLs (SSL/TLS) angegeben werden.
-Wirt Hostname:Port, -Pfad Pfadname
wenn die Gastgeber Wenn die Option vorhanden ist, wird die OCSP-Anfrage an den Host gesendet hostname on
port port . Weg Gibt den zu verwendenden HTTP-Pfadnamen oder standardmäßig „/“ an.
-Auszeit Sekunden
Verbindungs-Timeout zum OCSP-Responder in Sekunden
-CA-Datei Datei, -CApath Pfadname
Datei oder Pfadname, die vertrauenswürdige CA-Zertifikate enthält. Diese dienen der Überprüfung
Signatur auf der OCSP-Antwort.
-no_alt_chains
Weitere Informationen finden Sie auch in den überprüfen Handbuchseite für Details.
-verify_other Datei
Datei mit zusätzlichen Zertifikaten, die beim Suchen nach dem OCSP durchsucht werden müssen
Antwortsignaturzertifikat. Einige Antwortende lassen das Zertifikat des eigentlichen Unterzeichners weg
Aus der Antwort: Diese Option kann verwendet werden, um das erforderliche Zertifikat in einem solchen bereitzustellen
Fälle.
-trust_other
die von der angegebenen Zertifikate -verify_other Der Option sollte ausdrücklich vertraut werden
und es werden keine weiteren Kontrollen durchgeführt. Dies ist nützlich, wenn der Vorgang abgeschlossen ist
Die Responder-Zertifikatkette ist nicht verfügbar oder es ist nicht angemessen, einer Stammzertifizierungsstelle zu vertrauen.
-VA-Datei Datei
Datei, die explizit vertrauenswürdige Responder-Zertifikate enthält. Entspricht dem
-verify_other und -trust_other Optionen.
-überprüfen
Versuchen Sie nicht, die OCSP-Antwortsignatur oder die Nonce-Werte zu überprüfen. Diese Option
wird normalerweise nur zum Debuggen verwendet, da es jegliche Überprüfung des deaktiviert
Responder-Zertifikat.
-no_intern
Ignorieren Sie in der OCSP-Antwort enthaltene Zertifikate bei der Suche nach den Unterzeichnern
Zertifikat. Bei dieser Option muss das Unterzeichnerzertifikat mit angegeben werden
-verify_other or -VA-Datei Optionen.
-no_signature_verify
Überprüfen Sie nicht die Signatur der OCSP-Antwort. Da diese Option ungültig ist
Signaturen auf OCSP-Antworten werden normalerweise nur zu Testzwecken verwendet.
-no_cert_verify
Überprüfen Sie das OCSP-Antwortunterzeichnerzertifikat überhaupt nicht. Da diese Option es erlaubt
Die OCSP-Antwort muss von jedem Zertifikat signiert werden und sollte nur zum Testen verwendet werden
Zwecke.
-keine Kette
Verwenden Sie Zertifikate in der Antwort nicht als zusätzliche nicht vertrauenswürdige CA-Zertifikate.
-no_explicit
Vertrauen Sie der Stammzertifizierungsstelle nicht explizit, wenn sie für die OCSP-Signierung als vertrauenswürdig festgelegt ist.
-no_cert_checks
Führen Sie keine zusätzlichen Prüfungen für das OCSP-Antwortunterzeichnerzertifikat durch. Das ist
Führen Sie keine Prüfungen durch, um festzustellen, ob das Unterzeichnerzertifikat zur Bereitstellung berechtigt ist
Notwendige Statusinformationen: Daher sollte diese Option nur zum Testen verwendet werden
Zwecke.
-Gültigkeitszeitraum nsek, -status_age Alter
Diese Optionen geben den Zeitbereich in Sekunden an, der in einer toleriert wird
OCSP-Antwort. Jede Antwort auf den Zertifikatsstatus enthält Folgendes: nicht bevor Zeit und ein
optional nicht danach Zeit. Die aktuelle Zeit sollte zwischen diesen beiden Werten liegen, aber die
Der Abstand zwischen den beiden Zeitpunkten darf nur wenige Sekunden betragen. In der Praxis das OCSP
Die Uhren des Responders und des Clients sind möglicherweise nicht genau synchronisiert, weshalb eine solche Überprüfung möglicherweise nicht möglich ist
scheitern. Um dies zu vermeiden, ist die -Gültigkeitszeitraum Mit der Option kann ein akzeptables Maß angegeben werden
Fehlerbereich in Sekunden, der Standardwert ist 5 Minuten.
Besitzt das nicht danach Wenn eine Antwort ausgelassen wird, bedeutet dies, dass der Status neu ist
Informationen sind sofort verfügbar. In diesem Fall das Alter des nicht bevor Feld ist
überprüft, ob es nicht älter ist als Alter Sekunden alt. Standardmäßig ist diese zusätzliche Prüfung
wird nicht durchgeführt.
-md5|-sha1|-sha256|-ripemod160|...
Diese Option legt den Digest-Algorithmus fest, der für die Zertifikatsidentifizierung im OCSP verwendet wird
Anfrage. Standardmäßig wird SHA-1 verwendet.
OCSP SERVER OPTIONAL
-Index Indexdatei
Indexdatei ist eine Textindexdatei in ca Format, das die Zertifikatsperrung enthält
Informationen.
Besitzt das Index Option ist angegeben ocsp Das Dienstprogramm befindet sich im Responder-Modus, andernfalls
befindet sich im Client-Modus. Die Anfrage(n), die der Responder verarbeitet, können entweder angegeben werden
die Befehlszeile (mit Emittent und seriell Optionen), bereitgestellt in einer Datei (unter Verwendung der
antworte Option) oder über externe OCSP-Clients (falls port or URL angegeben).
Besitzt das Index Option vorhanden ist, dann die CA und Unterzeichner Optionen müssen ebenfalls vorhanden sein.
-CA Datei
CA-Zertifikat, das den Sperrinformationen in entspricht Indexdatei.
-Unterzeichner Datei
Das Zertifikat zum Signieren von OCSP-Antworten.
-rother Datei
Zusätzliche Zertifikate, die in die OCSP-Antwort aufgenommen werden sollen.
-resp_no_certs
Fügen Sie keine Zertifikate in die OCSP-Antwort ein.
-resp_key_id
Identifizieren Sie das Unterzeichnerzertifikat anhand der Schlüssel-ID. Standardmäßig wird der Antragstellername verwendet.
-rkey Datei
Der private Schlüssel zum Signieren von OCSP-Antworten mit: Falls nicht vorhanden, die in angegebene Datei
Unterzeichner Option verwendet wird.
-Hafen portnum
Port, der auf OCSP-Anfragen überwacht werden soll. Der Port kann auch mit angegeben werden URL
.
-nAnfrage Anzahl
Der OCSP-Server wird nach dem Empfang beendet Anzahl Anfragen, standardmäßig unbegrenzt.
-nmin Minuten, -ntage Tage
Anzahl der Minuten oder Tage, an denen neue Sperrinformationen verfügbar sind: Wird im verwendet
nächstesUpdate Feld. Wenn keine Option vorhanden ist, dann wird die nächstesUpdate Feld wird weggelassen
Das bedeutet, dass neue Widerrufsinformationen sofort verfügbar sind.
OCSP Antwort Überprüfung.
Die OCSP-Antwort folgt den in RFC2560 angegebenen Regeln.
Zunächst wird das OCSP-Responder-Zertifikat und die Signatur auf der OCSP-Anfrage gesucht
wird anhand des öffentlichen Schlüssels des Responder-Zertifikats überprüft.
Anschließend wird eine normale Zertifikatsüberprüfung für die Erstellung des OCSP-Responder-Zertifikats durchgeführt
Dabei wird eine Zertifikatskette aufgebaut. Die Speicherorte der verwendeten vertrauenswürdigen Zertifikate
Der Aufbau der Kette kann durch die angegeben werden CA-Datei und CApath Optionen oder sie werden gesucht
für im Standard-OpenSSL-Zertifikatsverzeichnis.
Wenn die erste Überprüfung fehlschlägt, wird der OCSP-Überprüfungsprozess mit einem Fehler angehalten.
Andernfalls wird das ausstellende CA-Zertifikat in der Anfrage mit dem OCSP-Responder verglichen
Zertifikat: Wenn eine Übereinstimmung vorliegt, ist die OCSP-Überprüfung erfolgreich.
Andernfalls wird die CA des OCSP-Responder-Zertifikats mit der ausstellenden CA verglichen
Zertifikat in der Anfrage. Wenn eine Übereinstimmung vorliegt und die Verwendung des erweiterten OCSPSigning-Schlüssels erfolgt
im OCSP-Responder-Zertifikat vorhanden ist, ist die OCSP-Überprüfung erfolgreich.
Ansonsten wenn -no_explicit is nicht Legen Sie die Stammzertifizierungsstelle der OCSP-Responder fest, auf die überprüft wird
Überprüfen Sie, ob es für die OCSP-Signierung vertrauenswürdig ist. Wenn dies der Fall ist, ist die OCSP-Überprüfung erfolgreich.
Wenn keine dieser Prüfungen erfolgreich ist, schlägt die OCSP-Überprüfung fehl.
Was dies effektiv bedeutet, wenn das OCSP-Responder-Zertifikat autorisiert ist
direkt von der Zertifizierungsstelle, über die sie Sperrinformationen ausgibt (und das ist korrekt).
konfiguriert ist), ist die Überprüfung erfolgreich.
Wenn der OCSP-Responder ein „globaler Responder“ ist, der Details zu mehreren Zertifizierungsstellen bereitstellen kann
und über eine eigene separate Zertifikatskette verfügt, kann der Stammzertifizierungsstelle für OCSP vertraut werden
Unterzeichnung. Zum Beispiel:
openssl x509 -in ocspCA.pem -addtrust OCSPSigning -out sustainableCA.pem
Alternativ kann dem Responder-Zertifikat selbst explizit vertraut werden -VA-Datei
.
ANMERKUNG
Wie bereits erwähnt, dienen die meisten Überprüfungsoptionen Test- oder Debugging-Zwecken. Normalerweise nur
-CApath, -CA-Datei und (wenn der Antwortende ein „globaler VA“ ist) -VA-Datei Optionen müssen sein
benutzt.
Der OCSP-Server ist nur zu Test- und Demonstrationszwecken nützlich, aber nicht wirklich
verwendbar als vollwertiger OCSP-Responder. Es enthält nur eine sehr einfache HTTP-Anfrageverarbeitung und
kann nur die POST-Form von OCSP-Abfragen verarbeiten. Es verarbeitet Anfragen auch seriell
Es kann nicht auf neue Anfragen antworten, bis es die aktuelle bearbeitet hat. Der Textindex
Auch das Dateiformat des Widerrufs ist bei großen Mengen an Widerrufsdaten ineffizient.
Es ist möglich, das auszuführen ocsp Anwendung im Responder-Modus über ein CGI-Skript mit dem
antworte und respout Optionen.
Beispiele:
Erstellen Sie eine OCSP-Anfrage und schreiben Sie sie in eine Datei:
openssl ocsp -issuer issuer.pem -cert c1.pem -cert c2.pem -reqout req.der
Senden Sie eine Anfrage mit URL an einen OCSP-Responder http://ocsp.myhost.com/ Speichern Sie die Antwort auf a
Datei herunterladen und in Textform ausdrucken
openssl ocsp -issuer issuer.pem -cert c1.pem -cert c2.pem \
-URL http://ocsp.myhost.com/ -resp_text -respout resp.der
Lesen Sie eine OCSP-Antwort ein und drucken Sie das Textformular aus:
openssl ocsp -respin resp.der -text
OCSP-Server auf Port 8888 unter Verwendung eines Standards ca Konfiguration und einen separaten Responder
Zertifikat. Alle Anfragen und Antworten werden in einer Datei gedruckt.
openssl ocsp -index demoCA/index.txt -port 8888 -rsigner rcert.pem -CA demoCA/cacert.pem
-text -out log.txt
Wie oben, jedoch nach der Bearbeitung einer Anfrage beenden:
openssl ocsp -index demoCA/index.txt -port 8888 -rsigner rcert.pem -CA demoCA/cacert.pem
-nAnfrage 1
Statusinformationen mittels intern generierter Anfrage abfragen:
openssl ocsp -index demoCA/index.txt -rsigner rcert.pem -CA demoCA/cacert.pem
-issuer demoCA/cacert.pem -serial 1
Statusinformationen mithilfe einer aus einer Datei gelesenen Anforderung abfragen und eine Antwort in eine zweite Datei schreiben.
openssl ocsp -index demoCA/index.txt -rsigner rcert.pem -CA demoCA/cacert.pem
-reqin req.der -respout resp.der
HISTORIEN
Die Optionen -no_alt_chains wurden erstmals zu OpenSSL 1.0.2b hinzugefügt.
Verwenden Sie ocspssl online über die Dienste von onworks.net
