Questo è il comando ocspssl che può essere eseguito nel provider di hosting gratuito OnWorks utilizzando una delle nostre molteplici workstation online gratuite come Ubuntu Online, Fedora Online, emulatore online Windows o emulatore online MAC OS
PROGRAMMA:
NOME
ocsp - Utilità del protocollo di stato del certificato in linea
SINOSSI
OpenSSL occ [-su filetto] [-emittente filetto] [-cert filetto] [-seriale n] [-firmatario filetto] [-segnaletica
filetto] [-segno_altro filetto] [-nessun_certo] [-req_testo] [-risp_testo] [-testo] [-richiesta filetto]
[-risposta filetto] [-richiesta filetto] [- respin filetto] [-non una volta] [-no_non una volta] [-url URL] [-ospite
ospite: n] [-sentiero] [-CAperto dir] [-CAfile filetto] [-nessuna_catena_alt,-VAfile filetto]
[-periodo di validità n] [-stato_età n] [-noverifica] [-verifica_altro filetto] [-fida_altro]
[-nessun_tirocinante] [-nessuna_firma_verifica] [-no_cert_verify] [-nessuna catena] [-nessun_certificato_controlli]
[-no_esplicito] [-porta num] [-indice filetto] [-CA filetto] [-firmatario filetto] [-rchiave filetto] [-fratello
filetto] [-resp_no_certs] [-n min n] [-giorni n] [-id_chiave_risp] [-nrichiesta n] [-md5|-sha1|...]
DESCRIZIONE
L'Online Certificate Status Protocol (OCSP) consente alle applicazioni di determinare il
(revoca) stato di un certificato identificato (RFC 2560).
Le occ Il comando esegue molte attività OCSP comuni. Può essere utilizzato per stampare richieste e
risposte, creare richieste e inviare query a un risponditore OCSP e comportarsi come un mini
server OCSP stesso.
OCSP CLIENTE VERSIONI
-su Nome del file
specificare il nome del file di output, l'impostazione predefinita è l'output standard.
-emittente Nome del file
Specifica il certificato dell'emittente corrente. Questa opzione può essere utilizzata più volte.
Il certificato specificato in Nome del file deve essere in formato PEM. Questa opzione MUST Venire
prima di qualsiasi -cert opzioni.
-cert Nome del file
Aggiungi il certificato Nome del file alla richiesta. Il certificato dell'emittente è tratto dal
precedente emittente oppure si verifica un errore se non viene specificato alcun certificato dell'emittente.
-seriale num
Come il cert opzione tranne il certificato con numero di serie num viene aggiunto al file
richiesta. Il numero di serie viene interpretato come un numero intero decimale a meno che non sia preceduto da 0x.
Gli interi negativi possono essere specificati anche anteponendo il valore a a - segno.
-firmatario Nome del file, -segnaletica Nome del file
Firma la richiesta OCSP utilizzando il certificato specificato nel firmatario opzione e il
chiave privata specificata da segno opzione. Se la segno l'opzione non è presente allora
la chiave privata viene letta dallo stesso file del certificato. Se nessuna delle due opzioni è
specificato, la richiesta OCSP non è firmata.
-segno_altro Nome del file
Certificati aggiuntivi da includere nella richiesta firmata.
-non una volta, -no_non una volta
Aggiungere un'estensione nonce OCSP a una richiesta o disabilitare l'aggiunta nonce OCSP. Normalmente se
una richiesta OCSP viene immessa utilizzando il rispin opzione non viene aggiunta nessuna nonce: usando il nonce
opzione forzerà l'aggiunta di un nonce. Se viene creata una richiesta OCSP (usando
cert e a serial opzioni) viene aggiunto automaticamente un nonce specificando no_noce sostituisce
Questo.
-req_testo, -risp_testo, -testo
stampare il modulo di testo della richiesta OCSP, risposta o entrambi rispettivamente.
-richiesta filetto, -risposta filetto
scrivere la richiesta o la risposta del certificato codificato DER a filetto.
-richiesta filetto, - respin filetto
leggi la richiesta OCSP o il file di risposta da filetto. Queste opzioni vengono ignorate se richiesta OCSP
o la creazione della risposta è implicata da altre opzioni (ad esempio con serial, cert e a
host opzioni).
-url url_rispondente
specificare l'URL del risponditore. È possibile specificare URL sia HTTP che HTTPS (SSL/TLS).
-ospite nome host:porta, -sentiero pathname
se l' host l'opzione è presente, quindi la richiesta OCSP viene inviata all'host hostname on
porto porto. sentiero specifica il nome del percorso HTTP da utilizzare o "/" per impostazione predefinita.
-tempo scaduto secondo
timeout di connessione al risponditore OCSP in secondi
-CAfile filetto, -CAperto pathname
file o percorso contenente certificati CA attendibili. Questi sono usati per verificare il
firma sulla risposta OCSP.
-nessuna_catena_alt
See verificare pagina di manuale per i dettagli.
-verifica_altro filetto
file contenente certificati aggiuntivi da cercare quando si tenta di individuare l'OCSP
certificato di firma della risposta. Alcuni risponditori omettono il certificato del firmatario effettivo
dalla risposta: questa opzione può essere utilizzata per fornire il certificato necessario in tale
casi.
-fida_altro
i certificati specificati dal -verifica_altro l'opzione dovrebbe essere esplicitamente attendibile
e su di essi non verranno effettuati ulteriori controlli. Questo è utile quando il completo
la catena di certificati del risponditore non è disponibile o non è appropriato fidarsi di una CA radice.
-VAfile filetto
file contenente certificati di risponditori esplicitamente attendibili. Equivalente a
-verifica_altro e a -fida_altro opzioni.
-noverifica
non tentare di verificare la firma della risposta OCSP oi valori nonce. Questa opzione
verrà normalmente utilizzato solo per il debug poiché disabilita tutte le verifiche del
certificato di risponditori.
-nessun_tirocinante
ignora i certificati contenuti nella risposta OCSP durante la ricerca dei firmatari
certificato. Con questa opzione il certificato del firmatario deve essere specificato con
, il -verifica_altro or -VAfile opzioni.
-nessuna_firma_verifica
non controllare la firma sulla risposta OCSP. Poiché questa opzione tollera invalid
firme sulle risposte OCSP verrà normalmente utilizzato solo a scopo di test.
-no_cert_verify
non verificare affatto il certificato dei firmatari della risposta OCSP. Poiché questa opzione consente
la risposta OCSP deve essere firmata da qualsiasi certificato dovrebbe essere utilizzata solo per i test
scopi.
-nessuna catena
non utilizzare i certificati nella risposta come certificati CA aggiuntivi non attendibili.
-no_esplicito
non considerare esplicitamente attendibile la CA radice se è impostata come attendibile per la firma OCSP.
-nessun_certificato_controlli
non eseguire ulteriori controlli sul certificato dei firmatari della risposta OCSP. Questo è
non effettuare alcun controllo per verificare se il certificato del firmatario è autorizzato a fornire il
informazioni di stato necessarie: di conseguenza questa opzione dovrebbe essere utilizzata solo per i test
scopi.
-periodo di validità nsec, -stato_età
queste opzioni specificano l'intervallo di tempi, in secondi, che sarà tollerato in an
Risposta dell'OCSP. Ogni risposta sullo stato del certificato include un non prima tempo e an
opzionale non dopo tempo. L'ora corrente dovrebbe rientrare tra questi due valori, ma il
l'intervallo tra i due tempi può essere solo di pochi secondi. In pratica l'OCSP
gli orologi del risponditore e dei client potrebbero non essere sincronizzati con precisione e quindi un tale controllo potrebbe
fallire. Per evitare questo il -periodo di validità l'opzione può essere utilizzata per specificare un'opzione accettabile
intervallo di errore in secondi, il valore predefinito è 5 minuti.
Se l' non dopo il tempo viene omesso da una risposta, ciò significa che il nuovo stato
le informazioni sono immediatamente disponibili. In questo caso l'età del non prima il campo è
controllato per vedere che non è più vecchio di secondi di età. Per impostazione predefinita questo controllo aggiuntivo
non viene eseguito.
-md5|-sha1|-sha256|-ripemod160|...
questa opzione imposta l'algoritmo digest da utilizzare per l'identificazione del certificato nell'OCSP
richiesta. Per impostazione predefinita viene utilizzato SHA-1.
OCSP SERVER VERSIONI
-indice file indice
file indice è un file di indice di testo in ca formato contenente la revoca del certificato
informazioni.
Se l' Index l'opzione è specificata in occ l'utility è in modalità risponditore, altrimenti
è in modalità client. Le richieste che il risponditore elabora possono essere specificate su
la riga di comando (usando emittente e a serial opzioni), fornito in un file (usando il
rispin opzione) o tramite client OCSP esterni (se porto or URL è specificato).
Se l' Index l'opzione è presente quindi il CA e a firmatario anche le opzioni devono essere presenti.
-CA filetto
Certificato CA corrispondente alle informazioni di revoca in file indice.
-firmatario filetto
Il certificato con cui firmare le risposte OCSP.
-fratello filetto
Certificati aggiuntivi da includere nella risposta OCSP.
-resp_no_certs
Non includere alcun certificato nella risposta OCSP.
-id_chiave_risp
Identificare il certificato del firmatario utilizzando l'ID della chiave, l'impostazione predefinita prevede l'utilizzo del nome del soggetto.
-rchiave filetto
La chiave privata con cui firmare le risposte OCSP: se non presente il file specificato nel
firmatario viene utilizzata l'opzione.
-porta portnum
Porta su cui ascoltare le richieste OCSP. La porta può anche essere specificata usando il URL
opzione.
-nrichiesta numero
Il server OCSP uscirà dopo la ricezione numero richieste, predefinito illimitato.
-n min verbale, -giorni giorni
Numero di minuti o giorni in cui sono disponibili nuove informazioni sulla revoca: utilizzato nel
successivoAggiornamento campo. Se nessuna delle opzioni è presente, allora il successivoAggiornamento il campo è omesso
il che significa che le nuove informazioni sulla revoca sono immediatamente disponibili.
OCSP Risposta verifica.
OCSP Response segue le regole specificate in RFC2560.
Inizialmente viene individuato il certificato del risponditore OCSP e la firma sulla richiesta OCSP
verificato utilizzando la chiave pubblica del certificato del risponditore.
Quindi viene eseguita una normale verifica del certificato sull'edificio del certificato del risponditore OCSP
una catena di certificati nel processo. Le posizioni dei certificati attendibili utilizzati per
costruire la catena può essere specificato dal CAfile e a CApercorso opzioni o verranno guardate
for nella directory dei certificati OpenSSL standard.
Se la verifica iniziale fallisce, il processo di verifica OCSP si interrompe con un errore.
In caso contrario, il certificato della CA emittente nella richiesta viene confrontato con il risponditore OCSP
certificate: se c'è una corrispondenza, la verifica OCSP ha esito positivo.
In caso contrario, la CA del certificato del risponditore OCSP viene confrontata con la CA emittente
certificato nella richiesta. Se c'è una corrispondenza e l'utilizzo esteso della chiave OCSPSigning è
presente nel certificato del risponditore OCSP, la verifica OCSP ha esito positivo.
Altrimenti, se -no_esplicito is non è un impostare la CA radice dei risponditori OCSP CA è selezionata su
vedere se è attendibile per la firma OCSP. Se è l'OCSP, la verifica ha esito positivo.
Se nessuno di questi controlli ha esito positivo, la verifica OCSP fallisce.
Che cosa significa effettivamente se il certificato del risponditore OCSP è autorizzato?
direttamente dalla CA sta emettendo le informazioni di revoca (ed è correttamente)
configurato) quindi la verifica avrà esito positivo.
Se il risponditore OCSP è un "risponditore globale" che può fornire dettagli su più CA
e ha una propria catena di certificati separata, quindi la sua CA radice può essere considerata attendibile per OCSP
firma. Per esempio:
openssl x509 -in ocspCA.pem -addtrust OCSPSigning -out TrustedCA.pem
In alternativa, il certificato del risponditore stesso può essere esplicitamente attendibile con il -VAfile
opzione.
NOTE
Come notato, la maggior parte delle opzioni di verifica sono a scopo di test o debug. Normalmente solo
, il -CAperto, -CAfile e (se il risponditore è un 'VA globale') -VAfile le opzioni devono essere
Usato.
Il server OCSP è utile solo a scopo di test e dimostrazione: non lo è davvero
utilizzabile come risponditore OCSP completo. Contiene solo una gestione delle richieste HTTP molto semplice e
può gestire solo il modulo POST delle query OCSP. Gestisce anche le richieste in serie significato
non può rispondere a nuove richieste finché non ha evaso quella attuale. L'indice del testo
anche il formato file di revoca è inefficiente per grandi quantità di dati di revoca.
È possibile eseguire il occ applicazione in modalità risponditore tramite uno script CGI utilizzando il
rispin e a risposta opzioni.
ESEMPI
Crea una richiesta OCSP e scrivila su un file:
openssl ocsp -issuer issuer.pem -cert c1.pem -cert c2.pem -reqout req.der
Invia una query a un risponditore OCSP con URL http://ocsp.myhost.com/ salva la risposta in a
archivialo e stampalo in formato testo
openssl ocsp -issuer issuer.pem -cert c1.pem -cert c2.pem \
-url http://ocsp.myhost.com/ -resp_text -respout resp.der
Leggi una risposta OCSP e stampa il modulo di testo:
openssl ocsp -respin resp.der -text
Server OCSP sulla porta 8888 utilizzando uno standard ca configurazione e un risponditore separato
certificato. Tutte le richieste e le risposte vengono stampate su un file.
openssl ocsp -index demoCA/index.txt -porta 8888 -rsigner rcert.pem -CA demoCA/cacert.pem
-testo -out log.txt
Come sopra ma esci dopo aver elaborato una richiesta:
openssl ocsp -index demoCA/index.txt -porta 8888 -rsigner rcert.pem -CA demoCA/cacert.pem
-nrichiesta 1
Informazioni sullo stato della query utilizzando la richiesta generata internamente:
openssl ocsp -index demoCA/index.txt -rsinger rcert.pem -CA demoCA/cacert.pem
-emittente demoCA/cacert.pem -serial 1
Interroga le informazioni sullo stato utilizzando la richiesta di lettura da un file, scrittura di risposta su un secondo file.
openssl ocsp -index demoCA/index.txt -rsinger rcert.pem -CA demoCA/cacert.pem
-reqin req.der -respout risp.der
STORIA
Le opzioni -no_alt_chains sono state aggiunte per la prima volta a OpenSSL 1.0.2b.
Utilizzare ocspsl online utilizzando i servizi onworks.net
