ocspssl - En ligne dans le cloud

PROGRAMME:

Nom

ocsp - Utilitaire de protocole d'état de certificat en ligne

SYNOPSIS

openssl ocsp [-en dehors filet] [-émetteur filet] [-certificat filet] [-en série n] [-signataire filet] [-clé de signe
filet] [-sign_autre filet] [-no_certs] [-req_text] [-resp_texte] [-texte] [-demande filet]
[-respout filet] [-reqin filet] [-respin filet] [-nonce] [-no_nonce] [-URL URL] [-hôte
hôte : n] [-chemin] [-CAchemin dir] [-CAfichier filet] [-no_alt_chains]] [-Fichier VA filet]
[-période de validité n] [-status_age n] [-novérifier] [-vérifier_autre filet] [-trust_other]
[-no_intern] [-no_signature_verify] [-no_cert_verify] [-no_chain] [-no_cert_checks]
[-no_explicit] [-Port num] [-indice filet] [-CA filet] [-rsigner filet] [-rclé filet] [-rother
filet] [-resp_no_certs] [-nmin n] [-jours n] [-resp_key_id] [-nrequête n] [-md5|-sha1|...]

DESCRIPTION

Le protocole OCSP (Online Certificate Status Protocol) permet aux applications de déterminer le
(révocation) état d'un certificat identifié (RFC 2560).

Notre ocsp La commande effectue de nombreuses tâches OCSP courantes. Il peut être utilisé pour imprimer des demandes et
réponses, créez des requêtes et envoyez des requêtes à un répondeur OCSP et comportez-vous comme un mini
Serveur OCSP lui-même.

OCSP CLIENT OPTIONS

-en dehors nom de fichier
spécifiez le nom du fichier de sortie, la sortie par défaut est la sortie standard.

-émetteur nom de fichier
Ceci spécifie le certificat d'émetteur actuel. Cette option peut être utilisée plusieurs fois.
Le certificat spécifié dans nom de fichier doit être au format PEM. Cette option DOIVENT comment
avant tout -certificat options.

-certificat nom de fichier
Ajouter le certificat nom de fichier à la demande. Le certificat d'émetteur est extrait du
précédent émetteur ou une erreur se produit si aucun certificat d'émetteur n'est spécifié.

-en série num
Identique au cert option sauf le certificat avec numéro de série num est ajouté au
demande. Le numéro de série est interprété comme un entier décimal sauf s'il est précédé de 0x.
Les entiers négatifs peuvent également être spécifiés en faisant précéder la valeur d'un - signe.

-signataire nom de fichier, -clé de signe nom de fichier
Signez la requête OCSP en utilisant le certificat spécifié dans le signataire option et le
clé privée spécifiée par le clé de signe option. Si la clé de signe l'option n'est pas présente alors
la clé privée est lue à partir du même fichier que le certificat. Si aucune des deux options n'est
spécifié, la requête OCSP n'est pas signée.

-sign_autre nom de fichier
Certificats supplémentaires à inclure dans la demande signée.

-nonce, -no_nonce
Ajoutez une extension occasionnelle OCSP à une demande ou désactivez l'ajout d'un usage occasionnel OCSP. Normalement si
une requête OCSP est saisie à l'aide du relancer option aucune circonstance n'est ajoutée : en utilisant l'option Nonce
L'option forcera l'ajout d'un nom occasionnel. Si une requête OCSP est créée (en utilisant
cert et votre en série options), un occasionnel est automatiquement ajouté en spécifiant non_nonce remplacements
ce.

-req_text, -resp_texte, -texte
imprimez le formulaire texte de la demande, de la réponse ou des deux OCSP respectivement.

-demande filet, -respout filet
rédiger la demande ou la réponse de certificat codé DER à filet.

-reqin filet, -respin filet
lire la requête OCSP ou le fichier de réponse à partir de filet. Ces options sont ignorées si la demande OCSP
ou la création de réponse est impliquée par d'autres options (par exemple avec en série, cert et votre
hôte option).

-URL répondeur_url
spécifiez l'URL du répondeur. Les URL HTTP et HTTPS (SSL/TLS) peuvent être spécifiées.

-hôte nom d'hôte:port, -chemin chemin d'accès
si le hôte l'option est présente alors la requête OCSP est envoyée à l'hôte nom d'hôte on
port port. chemin spécifie le nom du chemin HTTP à utiliser ou "/" par défaut.

-temps libre secondes
délai d'expiration de la connexion au répondeur OCSP en secondes

-CAfichier filet, -CAchemin chemin d'accès
fichier ou chemin d'accès contenant les certificats d'autorité de certification approuvés. Ceux-ci sont utilisés pour vérifier le
signature sur la réponse OCSP.

-no_alt_chains
See vérifier page de manuel pour plus de détails.

-vérifier_autre filet
fichier contenant des certificats supplémentaires à rechercher lors de la tentative de localisation de l'OCSP
certificat de signature de réponse. Certains répondants omettent le certificat du signataire réel
de la réponse : cette option peut être utilisée pour fournir le certificat nécessaire dans un tel
Cas.

-trust_other
les certificats spécifiés par le -vérifier_autre l'option doit être explicitement approuvée
et aucun contrôle supplémentaire ne sera effectué sur ceux-ci. Ceci est utile lorsque le
la chaîne de certificats du répondeur n’est pas disponible ou faire confiance à une autorité de certification racine n’est pas approprié.

-Fichier VA filet
fichier contenant des certificats de répondeur explicitement approuvés. Équivalent au
-vérifier_autre et votre -trust_other options.

-novérifier
n'essayez pas de vérifier la signature de réponse OCSP ou les valeurs occasionnelles. Cette option
ne sera normalement utilisé que pour le débogage car il désactive toute vérification du
certificat de répondeurs.

-no_intern
ignorer les certificats contenus dans la réponse OCSP lors de la recherche des signataires
certificat. Avec cette option, le certificat des signataires doit être spécifié avec soit
le -vérifier_autre or -Fichier VA options.

-no_signature_verify
ne vérifiez pas la signature sur la réponse OCSP. Puisque cette option tolère les erreurs
signatures sur les réponses OCSP, il ne sera normalement utilisé qu'à des fins de test.

-no_cert_verify
ne vérifiez pas du tout le certificat des signataires de la réponse OCSP. Puisque cette option permet
la réponse OCSP doit être signée par n'importe quel certificat, elle ne doit être utilisée qu'à des fins de test
fins pratiques.

-no_chain
n'utilisez pas de certificats dans la réponse comme certificats d'autorité de certification non approuvés supplémentaires.

-no_explicit
ne faites pas explicitement confiance à l'autorité de certification racine si elle est configurée pour être approuvée pour la signature OCSP.

-no_cert_checks
n'effectuez aucune vérification supplémentaire sur le certificat des signataires de la réponse OCSP. C'est
ne faites aucune vérification pour voir si le certificat des signataires est autorisé à fournir le
informations d'état nécessaires : par conséquent, cette option ne doit être utilisée que pour tester
fins pratiques.

-période de validité nsec, -status_age âge
ces options précisent la plage de temps, en secondes, qui sera tolérée dans un
Réponse OCSP. Chaque réponse sur l'état du certificat comprend un pas avant du temps et un
facultatif pas après temps. L'heure actuelle doit se situer entre ces deux valeurs, mais
l'intervalle entre les deux temps peut être de quelques secondes seulement. En pratique l'OCSP
les horloges du répondeur et des clients peuvent ne pas être synchronisées avec précision et une telle vérification peut donc
échouer. Pour éviter cela, le -période de validité L'option peut être utilisée pour spécifier un niveau acceptable.
plage d'erreur en secondes, la valeur par défaut est de 5 minutes.

Si la pas après le temps est omis dans une réponse, cela signifie que le nouveau statut
les informations sont immédiatement disponibles. Dans ce cas, l'âge du pas avant le champ est
vérifié pour voir qu'il n'est pas plus vieux que âge quelques secondes. Par défaut cette vérification supplémentaire
n'est pas effectuée.

-md5|-sha1|-sha256|-ripemod160|...
cette option définit l'algorithme de résumé à utiliser pour l'identification du certificat dans OCSP
demande. Par défaut, SHA-1 est utilisé.

OCSP SERVEUR OPTIONS

-indice fichier index
fichier index est un fichier d'index de texte dans ca format contenant la révocation du certificat
</br>L’Information.

Si la indice l'option est spécifiée le ocsp l'utilitaire est en mode répondeur, sinon il
est en mode client. La ou les requêtes traitées par le répondeur peuvent être soit spécifiées sur
la ligne de commande (en utilisant émetteur et votre en série options), fournies dans un fichier (en utilisant le
relancer option) ou via des clients OCSP externes (si port or url est spécifié).

Si la indice l'option est présente, alors l'option CA et votre signataire les options doivent également être présentes.

-CA filet
Certificat CA correspondant aux informations de révocation dans fichier index.

-rsigner filet
Le certificat avec lequel signer les réponses OCSP.

-rother filet
Certificats supplémentaires à inclure dans la réponse OCSP.

-resp_no_certs
N'incluez aucun certificat dans la réponse OCSP.

-resp_key_id
Identifiez le certificat de signataire à l'aide de l'ID de clé. La valeur par défaut consiste à utiliser le nom du sujet.

-rclé filet
La clé privée avec laquelle signer les réponses OCSP : sinon présenter le fichier spécifié dans le
signataire option est utilisée.

-Port numéro de port
Port sur lequel écouter les requêtes OCSP. Le port peut également être spécifié à l'aide du url
option.

-nrequête nombre
Le serveur OCSP se fermera après avoir reçu nombre demandes, illimité par défaut.

-nmin minutes, -jours jours
Nombre de minutes ou de jours pendant lesquels de nouvelles informations de révocation sont disponibles : utilisé dans le
suivantMise à jour champ. Si aucune des deux options n'est présente, alors le suivantMise à jour le champ est omis
ce qui signifie que de nouvelles informations de révocation sont immédiatement disponibles.

OCSP Réponse vérification.

La réponse OCSP suit les règles spécifiées dans la RFC2560.

Initialement, le certificat du répondeur OCSP est localisé et la signature sur la requête OCSP
vérifié à l’aide de la clé publique du certificat du répondeur.

Ensuite, une vérification normale du certificat est effectuée sur la création du certificat du répondeur OCSP.
en place une chaîne de certificats dans le processus. Les emplacements des certificats de confiance utilisés pour
construire la chaîne peut être spécifié par le Fichier CA et votre CApath options ou elles seront examinées
pour dans le répertoire standard des certificats OpenSSL.

Si la vérification initiale échoue, le processus de vérification OCSP s'arrête avec une erreur.

Sinon, le certificat CA émetteur dans la demande est comparé au répondeur OCSP.
certificat : s'il y a une correspondance, la vérification OCSP réussit.

Sinon, l'autorité de certification du certificat du répondeur OCSP est vérifiée par rapport à l'autorité de certification émettrice.
certificat dans la demande. S'il y a une correspondance et que l'utilisation de la clé étendue OCSPSigning est
présent dans le certificat du répondeur OCSP, la vérification OCSP réussit.

Sinon, si -no_explicit is pas définir l'autorité de certification racine des répondeurs OCSP. L'autorité de certification est cochée sur
voyez s'il est fiable pour la signature OCSP. Si c'est le cas, la vérification OCSP réussit.

Si aucune de ces vérifications ne réussit, la vérification OCSP échoue.

Qu'est-ce que cela signifie effectivement si le certificat du répondeur OCSP est autorisé
directement par l'autorité de certification sur laquelle elle émet des informations de révocation (et c'est correctement
configuré), la vérification réussira.

Si le répondeur OCSP est un « répondeur global » qui peut donner des détails sur plusieurs autorités de certification
et possède sa propre chaîne de certificats distincte, son autorité de certification racine peut alors être approuvée pour OCSP
signature. Par exemple:

openssl x509 -in ocspCA.pem -addtrust OCSPSigning -out trustCA.pem

Alternativement, le certificat du répondeur lui-même peut être explicitement approuvé avec le -Fichier VA
option.

NOTES

Comme indiqué, la plupart des options de vérification sont destinées à des fins de test ou de débogage. Normalement seulement
le -CAchemin, -CAfichier et (si le répondant est un « VA mondial ») -Fichier VA les options doivent être
utilisé.

Le serveur OCSP n'est utile qu'à des fins de test et de démonstration : il n'est pas vraiment utile
utilisable comme répondeur OCSP complet. Il ne contient qu'une gestion de requête HTTP très simple et
ne peut gérer que le formulaire POST des requêtes OCSP. Il gère également les requêtes en série, ce qui signifie
il ne peut pas répondre aux nouvelles demandes tant qu'il n'a pas traité la demande en cours. L'index des textes
Le format de fichier de révocation est également inefficace pour de grandes quantités de données de révocation.

Il est possible d'exécuter le ocsp application en mode répondeur via un script CGI utilisant le
relancer et votre réponse options.

EXEMPLES

Créez une requête OCSP et écrivez-la dans un fichier :

openssl ocsp -issuer issuer.pem -cert c1.pem -cert c2.pem -reqout req.der

Envoyer une requête à un répondeur OCSP avec une URL http://ocsp.myhost.com/ enregistrer la réponse à un
fichier et imprimez-le sous forme de texte

openssl ocsp -issuer issuer.pem -cert c1.pem -cert c2.pem \
-URL http://ocsp.myhost.com/ -resp_text -respout resp.der

Lisez une réponse OCSP et imprimez le formulaire texte :

openssl ocsp -respin resp.der -text

Serveur OCSP sur le port 8888 utilisant un standard ca configuration et un répondeur séparé
certificat. Toutes les demandes et réponses sont imprimées dans un fichier.

openssl ocsp -index demoCA/index.txt -port 8888 -rsigner rcert.pem -CA demoCA/cacert.pem
-text -out log.txt

Comme ci-dessus mais quittez après avoir traité une requête :

openssl ocsp -index demoCA/index.txt -port 8888 -rsigner rcert.pem -CA demoCA/cacert.pem
-nrequête 1

Interrogez les informations d'état à l'aide d'une requête générée en interne :

openssl ocsp -index demoCA/index.txt -rsigner rcert.pem -CA demoCA/cacert.pem
-émetteur demoCA/cacert.pem -serial 1

Interrogez les informations d'état à l'aide d'une requête lue à partir d'un fichier, écrivez la réponse dans un deuxième fichier.

openssl ocsp -index demoCA/index.txt -rsigner rcert.pem -CA demoCA/cacert.pem
-reqin req.der -respout resp.der

HISTOIRE

L'option -no_alt_chains a été ajoutée pour la première fois à OpenSSL 1.0.2b.

Utilisez ocspssl en ligne à l'aide des services onworks.net