Dies ist der Befehl ocsptool, der im kostenlosen OnWorks-Hosting-Provider mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, Windows-Online-Emulator oder MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
ocsptool - GnuTLS OCSP-Tool
ZUSAMMENFASSUNG
ocsptool [-Flaggen] [-Flagge [Wert]] [--optionsname[[=| ]Wert]]
Alle Argumente müssen Optionen sein.
BESCHREIBUNG
Ocsptool ist ein Programm, das Informationen über OCSP-Anfragen/-Antworten analysieren und drucken kann.
Anfragen generieren und Antworten verifizieren.
OPTIONAL
-d Anzahl, --debuggen=Anzahl
Debuggen aktivieren. Diese Option verwendet eine ganze Zahl als Argument. Der Wert
of Anzahl ist beschränkt auf:
im Bereich 0 bis 9999
Gibt die Debug-Ebene an.
-V, - ausführlich
Ausführlichere Ausgabe. Diese Option kann unbegrenzt oft erscheinen.
--im Ordner=Datei
Eingabedatei.
--outfile=Schnur
Ausgabedatei.
--Fragen [=Server Name|URL]
Fragen Sie einen OCSP/HTTP-Server nach der Gültigkeit des Zertifikats. Diese Option muss in erscheinen
Kombination mit folgenden Optionen: load-cert, load-issuer.
Verbindet sich mit dem angegebenen HTTP-OCSP-Server und fragt nach der Gültigkeit der
geladenes Zertifikat.
-e, --verify-response
Antwort überprüfen.
-i, --Infos anfordern
Drucken Sie Informationen zu einer OCSP-Anfrage.
-j, --Antwort-Info
Drucken Sie Informationen zu einer OCSP-Antwort.
-q, --generate-request
Generieren Sie eine OCSP-Anfrage.
--nonce, - Fl -no-nonce
Verwenden Sie (oder nicht) eine Nonce-to-OCSP-Anforderung. Die auf keinen Fall Formular deaktiviert die Option.
--load-issuer=Datei
Ausstellerzertifikat aus Datei lesen.
--load-cert=Datei
Zertifikat aus Datei lesen, um es zu überprüfen.
--load-trust=Datei
Lesen Sie OCSP-Vertrauensanker aus der Datei. Diese Option darf nicht in Kombination mit . erscheinen
eine der folgenden Optionen: load-signer.
--Load-Unterzeichner=Datei
OCSP-Antwortsignierer aus Datei lesen. Diese Option darf nicht in Kombination erscheinen
mit einer der folgenden Optionen: Load-Trust.
--inder, - Fl -kein-inder
Verwenden Sie das DER-Format für Eingabezertifikate und private Schlüssel. Die kein-inder form wird
deaktivieren Sie die Option.
-Q Datei, --load-request=Datei
Lesen der DER-codierten OCSP-Anfrage aus der Datei.
-S Datei, --load-respons=Datei
Lesen der DER-codierten OCSP-Antwort aus der Datei.
-h, --help
Nutzungsinformationen anzeigen und beenden.
-!, --mehr Hilfe
Übergeben Sie die erweiterten Nutzungsinformationen über einen Pager.
-v [{v|c|n --Version [{v|c|n}]}]
Programmversion ausgeben und beenden. Der Standardmodus ist `v', eine einfache Version.
Der Modus „c“ druckt Copyright-Informationen und „n“ druckt das vollständige Copyright
bemerken.
Beispiele:
Print Information Über mich an OCSP Anforderung
Um eine OCSP-Anfrage zu analysieren und Informationen über den Inhalt auszudrucken, -i or --Infos anfordern
Parameter kann wie folgt verwendet werden. Die -Q Parameter geben den Namen der Datei an
die die OCSP-Anfrage enthält, und sie sollte die OCSP-Anfrage im binären DER-Format enthalten.
$ ocsptool -i -Q ocsp-request.der
Die Eingabedatei kann auch wie folgt an die Standardeingabe gesendet werden:
$ cat ocsp-request.der | ocsptool --request-info
Print Information Über mich an OCSP Antwort
Ähnlich wie beim Parsen von OCSP-Anfragen können OCSP-Antworten mit dem -j or
--Antwort-Info wie folgt.
$ ocsptool -j -Q ocsp-response.der
$ cat ocsp-response.der | ocsptool --response-info
Generieren an OCSP Anforderung
Das -q or --generate-request Parameter werden verwendet, um eine OCSP-Anfrage zu generieren. Standardmäßig
die OCSP-Anfrage wird im binären DER-Format auf die Standardausgabe geschrieben, kann aber in
eine Datei mit --outfile. Um ein OCSP zu generieren, fordern Sie den Aussteller des Zertifikats an
check muss mit angegeben werden --load-issuer und das Zertifikat zum Prüfen
--load-cert. Standardmäßig wird für diese Dateien das PEM-Format verwendet, obwohl --inder kann verwendet werden
um anzugeben, dass die Eingabedateien im DER-Format vorliegen.
$ ocsptool -q --load-issuer issuer.pem --load-cert client.pem --outfile ocsp-request.der
Beim Generieren von OCSP-Anforderungen fügt das Tool eine OCSP-Erweiterung hinzu, die eine Nonce enthält.
Dieses Verhalten kann durch Angabe von . deaktiviert werden --no-nonce.
Verify Stempel, Unterschrift in OCSP Antwort
Um die Signatur in einer OCSP-Antwort zu überprüfen, -e or --verify-response Parameter verwendet wird.
Das Tool liest eine OCSP-Antwort im DER-Format aus der Standardeingabe oder aus der Datei
spezifiziert durch --load-respons. Die OCSP-Antwort wird anhand einer Vertrauensstellung überprüft
Anker, die mit . angegeben werden --load-trust. Die Vertrauensanker sind verkettet
Zertifikate im PEM-Format. Das Zertifikat, das die OCSP-Antwort signiert hat, muss in
der Satz von Vertrauensankern oder der Aussteller des Unterzeichnerzertifikats muss im Satz enthalten sein
von Vertrauensankern und das OCSP Extended Key Usage Bit muss im Unterzeichner aktiviert werden
Zertifikat.
$ ocsptool -e --load-trust issuer.pem --load-response ocsp-response.der
Das Tool druckt den Status der Überprüfung.
Verify Stempel, Unterschrift in OCSP Antwort gegen gegeben Bescheinigung
Es ist möglich, die normale Vertrauenslogik zu überschreiben, wenn Sie wissen, dass ein bestimmtes Zertifikat
soll die OCSP-Antwort signiert haben, und Sie möchten damit die
Unterschrift. Dies wird erreicht mit --Load-Unterzeichner statt --load-trust. Das wird geladen
ein Zertifikat und es wird verwendet, um die Signatur in der OCSP-Antwort zu überprüfen. Es wird
das Extended Key Usage-Bit nicht prüfen.
$ ocsptool -e --load-signer ocsp-signer.pem --load-response ocsp-response.der
Dieser Ansatz ist normalerweise nur in zwei Situationen relevant. Die erste ist, wenn die OCSP
Antwort enthält keine Kopie des Unterzeichnerzertifikats, daher --load-trust Code würde
Scheitern. Die zweite ist, wenn Sie den indirekten Modus vermeiden möchten, in dem der OCSP-Antwortsignierer
Zertifikat wird von einem Vertrauensanker signiert.
Echte Welt Beispiel
Hier ist ein Beispiel dafür, wie Sie eine OCSP-Anfrage für ein Zertifikat generieren und die
Antwort. Zur Veranschaulichung verwenden wir die blog.josefsson.org Gastgeber, der (zum Zeitpunkt des Schreibens)
verwendet ein Zertifikat von CACert. Zuerst verwenden wir gnutls-cli um eine Kopie des Servers zu bekommen
Zertifikatskette. Der Server ist nicht verpflichtet, diese Informationen zu senden, aber dies
bestimmte ist dafür konfiguriert.
$ echo | gnutls-cli -p 443 blog.josefsson.org --print-cert > chain.pem
Verwenden Sie einen Texteditor auf kette.pem um drei Dateien für jedes einzelne Zertifikat zu erstellen,
namens cert.pem für das erste Zertifikat für die Domain selbst, zweitens Aussteller.pem aufgrund
das Zwischenzeugnis und root.pem für das endgültige Root-Zertifikat.
Das Domänenzertifikat enthält normalerweise einen Hinweis darauf, wo sich der OCSP-Responder befindet,
in der Erweiterung Authority Information Access Information. Zum Beispiel von Zertifikatstool -i
< cert.pem es gibt diese informationen:
Zugangsinformationen zu Behördeninformationen (nicht kritisch):
Zugriffsmethode: 1.3.6.1.5.5.7.48.1 (id-ad-ocsp)
Zugriffsstandort-URI: http://ocsp.CAcert.org/
Dies bedeutet, dass die CA OCSP-Abfragen über HTTP unterstützt. Wir sind jetzt bereit, ein OCSP zu erstellen
das Zertifikat anfordern.
$ ocsptool --ask ocsp.CAcert.org --load-issuer issuer.pem --load-cert cert.pem --outfile ocsp-response.der
Die Anfrage wird über HTTP an die angegebene OCSP-Serveradresse gesendet. Wenn die Adresse
ommited ocsptool verwendet die im Zertifikat gespeicherte Adresse.
EXIT STATUS
Einer der folgenden Exit-Werte wird zurückgegeben:
0 (EXIT_SUCCESS)
Erfolgreiche Programmausführung.
1 (BEENDEN_FEHLER)
Der Vorgang ist fehlgeschlagen oder die Befehlssyntax war ungültig.
70 (EX_SOFTWARE)
libopts hatte einen internen Betriebsfehler. Bitte melden Sie es an autogen-
[E-Mail geschützt] . Danke.
Verwenden Sie ocsptool online mit den onworks.net-Diensten
