Dit is de opdracht ocspssl die kan worden uitgevoerd in de gratis hostingprovider van OnWorks met behulp van een van onze meerdere gratis online werkstations zoals Ubuntu Online, Fedora Online, Windows online emulator of MAC OS online emulator
PROGRAMMA:
NAAM
ocsp - Online Certificate Status Protocol-hulpprogramma
KORTE INHOUD
openssl ocsp [-uit filet] [-uitgever filet] [-certificaat filet] [Serial n] [-ondertekenaar filet] [-tekensleutel
filet] [-teken_andere filet] [-geen_certificaten] [-verzoek_tekst] [-resp_tekst] [-tekst] [-aanvraag filet]
[-antwoord filet] [-reqin filet] [-resp filet] [-een keer] [-geen_nonce] [-url URL] [-gastheer
gastheer: n] [-pad] [-CApad dir] [-CA-bestand filet] [-geen_alt_ketens,-VAbestand filet]
[-geldigheidsduur n] [-status_leeftijd n] [-noverificeren] [-verifieer_andere filet] [-vertrouwen_andere]
[-geen_intern] [-no_signature_verify] [-no_cert_verify] [-geen ketting] [-no_cert_checks]
[-geen_expliciet] [-haven num] [-inhoudsopgave filet] [-CA filet] [- ondertekenaar filet] [-sleutel filet] [-roer
filet] [-resp_no_certs] [-min n] [-ndagen n] [-resp_key_id] [-nverzoek n] [-md5|-sha1|...]
PRODUCTBESCHRIJVING
Met het Online Certificate Status Protocol (OCSP) kunnen applicaties de
(intrekkings)status van een geïdentificeerd certificaat (RFC 2560).
De ocsp command voert veel voorkomende OCSP-taken uit. Het kan worden gebruikt om aanvragen af te drukken en
antwoorden, verzoeken maken en vragen verzenden naar een OCSP-responder en zich gedragen als een mini
OCSP-server zelf.
OCSP CLIËNT OPTIES
-uit bestandsnaam
geef de uitvoerbestandsnaam op, standaard is standaarduitvoer.
-uitgever bestandsnaam
Dit specificeert het huidige certificaat van de uitgever. Deze optie kan meerdere keren worden gebruikt.
Het certificaat vermeld in bestandsnaam moet in PEM-formaat zijn. Deze optie MUST hoe
voor elke -certificaat opties.
-certificaat bestandsnaam
Voeg het certificaat toe bestandsnaam aan het verzoek. Het certificaat van de uitgever is afkomstig van de
vorig emittent optie, of er treedt een fout op als er geen uitgeverscertificaat is opgegeven.
Serial num
Hetzelfde als de cert optie behalve het certificaat met serienummer num wordt toegevoegd aan de
verzoek. Het serienummer wordt geïnterpreteerd als een decimaal geheel getal, tenzij het wordt voorafgegaan door 0x.
Negatieve gehele getallen kunnen ook worden opgegeven door de waarde vooraf te laten gaan door a - teken.
-ondertekenaar bestandsnaam, -tekensleutel bestandsnaam
Onderteken het OCSP-verzoek met het certificaat dat is opgegeven in het ondertekenaar optie en de
privésleutel gespecificeerd door de tekensleutel optie. Als de tekensleutel optie is dan niet aanwezig
de privésleutel wordt gelezen uit hetzelfde bestand als het certificaat. Als geen van beide opties dat is
opgegeven, wordt het OCSP-verzoek niet ondertekend.
-teken_andere bestandsnaam
Aanvullende certificaten om op te nemen in het ondertekende verzoek.
-een keer, -geen_nonce
Voeg een OCSP nonce-extensie toe aan een verzoek of schakel OCSP nonce-toevoeging uit. Normaal gesproken als
een OCSP-verzoek wordt ingevoerd met behulp van de resp optie no nonce is toegevoegd: met behulp van de nuntius
optie zal de toevoeging van een nonce forceren. Als er een OCSP-verzoek wordt gemaakt (met behulp van
cert en serie- opties) wordt er automatisch een nonce toegevoegd die specificeert geen_nooit overschrijvingen
deze.
-verzoek_tekst, -resp_tekst, -tekst
druk het tekstformulier van respectievelijk het OCSP-verzoek, antwoord of beide af.
-aanvraag filet, -antwoord filet
schrijf het DER-gecodeerde certificaatverzoek of antwoord op filet.
-reqin filet, -resp filet
lees het OCSP-verzoek- of responsbestand uit filet. Deze opties worden genegeerd als een OCSP-verzoek wordt ingediend
of het creëren van antwoorden wordt geïmpliceerd door andere opties (bijvoorbeeld met serie-, cert en
gastheer opties).
-url responder_url
geef de antwoorder-URL op. Zowel HTTP- als HTTPS-URL's (SSL/TLS) kunnen worden opgegeven.
-gastheer hostnaam:poort, -pad padnaam
indien de gastheer optie aanwezig is, wordt het OCSP-verzoek naar de host verzonden hostname on
port port. pad specificeert de te gebruiken HTTP-padnaam of standaard "/".
-time-out seconden
verbindingstime-out naar de OCSP-responder in seconden
-CA-bestand filet, -CApad padnaam
bestand of padnaam met vertrouwde CA-certificaten. Deze worden gebruikt om de
handtekening op het OCSP-antwoord.
-geen_alt_ketens
Bekijk controleren handleiding voor details.
-verifieer_andere filet
bestand met aanvullende certificaten waarnaar moet worden gezocht bij een poging de OCSP te lokaliseren
certificaat voor het ondertekenen van reacties. Sommige responders laten het daadwerkelijke certificaat van de ondertekenaar achterwege
uit de reactie: van deze mogelijkheid kan gebruik worden gemaakt om het benodigde certificaat daarin aan te leveren
gevallen.
-vertrouwen_andere
de certificaten gespecificeerd door de -verifieer_andere optie moet expliciet worden vertrouwd
en er zullen geen aanvullende controles op worden uitgevoerd. Dit is handig als het voltooid is
de certificaatketen van de responder is niet beschikbaar of het vertrouwen op een root-CA is niet gepast.
-VAbestand filet
bestand met expliciet vertrouwde respondercertificaten. Gelijk aan de
-verifieer_andere en -vertrouwen_andere opties.
-noverificeren
Probeer niet de handtekening van het OCSP-antwoord of de nonce-waarden te verifiëren. Deze optie
wordt normaal gesproken alleen gebruikt voor foutopsporing, omdat alle verificatie van de
certificaat van responders.
-geen_intern
negeer certificaten in het OCSP-antwoord bij het zoeken naar de ondertekenaars
certificaat. Met deze optie moet het certificaat van de ondertekenaar met een van beide worden opgegeven
the -verifieer_andere or -VAbestand opties.
-no_signature_verify
controleer de handtekening op het OCSP-antwoord niet. Omdat deze optie ongeldig tolereert
handtekeningen op OCSP-antwoorden wordt normaal gesproken alleen voor testdoeleinden gebruikt.
-no_cert_verify
verifieer het OCSP-antwoordondertekenaarscertificaat helemaal niet. Omdat deze optie dit toelaat
het OCSP-antwoord moet door elk certificaat worden ondertekend en mag alleen voor testen worden gebruikt
praktische doeleinden.
-geen ketting
gebruik geen certificaten in het antwoord als extra niet-vertrouwde CA-certificaten.
-geen_expliciet
vertrouw de root-CA niet expliciet als deze is ingesteld als vertrouwd voor OCSP-ondertekening.
-no_cert_checks
voer geen extra controles uit op het OCSP-antwoordondertekenaarscertificaat. Dat is
Voer geen controles uit om te zien of het certificaat van de ondertekenaar bevoegd is om het certificaat te verstrekken
noodzakelijke statusinformatie: deze optie mag daarom alleen worden gebruikt voor testen
praktische doeleinden.
-geldigheidsduur Nsec, -status_leeftijd leeftijd
deze opties specificeren het bereik van tijden, in seconden, dat wordt getolereerd in een
OCSP-reactie. Elk certificaatstatusantwoord bevat een niet Hiervoor tijd en een
optioneel niet na tijd. De huidige tijd zou tussen deze twee waarden moeten liggen, maar de
Het interval tussen de twee tijden kan slechts enkele seconden bedragen. In de praktijk is de OCSP
De klokken van de responder en de cliënt zijn mogelijk niet precies gesynchroniseerd, waardoor een dergelijke controle mogelijk niet precies is gesynchroniseerd
mislukking. Om dit te voorkomen is de -geldigheidsduur optie kan worden gebruikt om een acceptabele waarde op te geven
foutbereik in seconden, de standaardwaarde is 5 minuten.
Indien de niet na tijd wordt weggelaten uit een antwoord, betekent dit dat er een nieuwe status is
informatie is direct beschikbaar. In dit geval de leeftijd van de niet Hiervoor veld is
gecontroleerd of deze niet ouder is dan leeftijd seconden oud. Standaard is deze extra controle aanwezig
wordt niet uitgevoerd.
-md5|-sha1|-sha256|-ripemod160|...
Met deze optie wordt het digest-algoritme ingesteld dat moet worden gebruikt voor certificaatidentificatie in de OCSP
verzoek. Standaard wordt SHA-1 gebruikt.
OCSP SERVER OPTIES
-inhoudsopgave indexbestand
indexbestand is een tekstindexbestand in ca formaat dat certificaatintrekking bevat
informatie.
Indien de index optie is opgegeven ocsp hulpprogramma bevindt zich in de respondermodus, anders wel
bevindt zich in de clientmodus. De aanvraag(en) die de responder verwerkt, kunnen worden gespecificeerd
de opdrachtregel (met behulp van emittent en serie- opties), geleverd in een bestand (met behulp van de
resp optie) of via externe OCSP-clients (if port or url is gespecificeerd).
Indien de index optie aanwezig is, dan wordt de CA en ondertekenaar Er moeten ook opties aanwezig zijn.
-CA filet
CA-certificaat dat overeenkomt met de intrekkingsinformatie in indexbestand.
- ondertekenaar filet
Het certificaat waarmee OCSP-antwoorden moeten worden ondertekend.
-roer filet
Aanvullende certificaten die moeten worden opgenomen in het OCSP-antwoord.
-resp_no_certs
Neem geen certificaten op in het OCSP-antwoord.
-resp_key_id
Identificeer het ondertekenaarscertificaat met behulp van de sleutel-ID. Standaard wordt de onderwerpnaam gebruikt.
-sleutel filet
De privésleutel waarmee OCSP-antwoorden worden ondertekend: als dit niet het geval is, wordt het bestand weergegeven dat is opgegeven in de
ondertekenaar optie wordt gebruikt.
-haven poortnummer
Poort waarop naar OCSP-verzoeken wordt geluisterd. De poort kan ook worden opgegeven met behulp van de url
optie.
-nverzoek aantal
De OCSP-server wordt afgesloten na ontvangst aantal verzoeken, standaard onbeperkt.
-min minuten, -ndagen dagen
Aantal minuten of dagen waarin nieuwe intrekkingsinformatie beschikbaar is: gebruikt in de
volgendeUpdate veld. Als geen van beide opties aanwezig is, wordt de volgendeUpdate veld wordt weggelaten
Dit betekent dat nieuwe intrekkingsinformatie onmiddellijk beschikbaar is.
OCSP antwoord verificatie.
OCSP-reactie volgt de regels die zijn gespecificeerd in RFC2560.
In eerste instantie wordt het OCSP-respondercertificaat gevonden en de handtekening op het OCSP-verzoek
gecontroleerd met behulp van de openbare sleutel van het respondercertificaat.
Vervolgens wordt een normale certificaatverificatie uitgevoerd op het OCSP-respondercertificaatgebouw
daarbij een certificaatketen opbouwen. De locaties van de vertrouwde certificaten die worden gebruikt
build the chain kan worden gespecificeerd door de CA-bestand en CApad opties, anders wordt er naar gekeken
voor in de standaard OpenSSL-certificatenmap.
Als de initiële verificatie mislukt, stopt het OCSP-verificatieproces met een fout.
Anders wordt het uitgevende CA-certificaat in het verzoek vergeleken met de OCSP-responder
certificaat: als er een match is, slaagt de OCSP-verificatie.
Anders wordt de CA van het OCSP-respondercertificaat vergeleken met de uitgevende CA
certificaat in de aanvraag. Als er een overeenkomst is en het uitgebreide sleutelgebruik van OCSPSigning is
aanwezig is in het OCSP-respondercertificaat, dan slaagt de OCSP-verificatie.
Anders, als -geen_expliciet is niet stel de root-CA in van de OCSP-responders waarop de CA wordt gecontroleerd
kijk of het wordt vertrouwd voor OCSP-ondertekening. Als dit het geval is, slaagt de OCSP-verificatie.
Als geen van deze controles succesvol is, mislukt de OCSP-verificatie.
Wat dit feitelijk betekent als het OCSP-respondercertificaat is geautoriseerd
rechtstreeks door de CA waarover zij intrekkingsinformatie verstrekt (en dat is correct).
geconfigureerd), dan zal de verificatie slagen.
Als de OCSP-responder een "algemene responder" is die details over meerdere CA's kan geven
en een eigen afzonderlijke certificaatketen heeft, kan de root-CA worden vertrouwd voor OCSP
ondertekening. Bijvoorbeeld:
openssl x509 -in ocspCA.pem -addtrust OCSPSigning -uit vertrouwdeCA.pem
Als alternatief kan het respondercertificaat zelf expliciet worden vertrouwd met de -VAbestand
optie.
OPMERKINGEN
Zoals opgemerkt, zijn de meeste verificatieopties bedoeld voor test- of foutopsporingsdoeleinden. Normaal alleen
the -CApad, -CA-bestand en (als de responder een 'global VA' is) -VAbestand opties moeten zijn
gebruikt.
De OCSP-server is alleen nuttig voor test- en demonstratiedoeleinden: dat is niet echt het geval
bruikbaar als een volledige OCSP-responder. Het bevat slechts een zeer eenvoudige afhandeling van HTTP-verzoeken en
kan alleen de POST-vorm van OCSP-query's verwerken. Het behandelt ook verzoeken met een seriële betekenis
het kan niet reageren op nieuwe verzoeken totdat het huidige verzoek is verwerkt. De tekstindex
Het bestandsformaat van de intrekking is ook inefficiënt voor grote hoeveelheden intrekkingsgegevens.
Het is mogelijk om de ocsp toepassing in respondermodus via een CGI-script met behulp van de
resp en uitspreken opties.
Voorbeelden
Maak een OCSP-verzoek en schrijf het naar een bestand:
openssl ocsp -uitgever issuer.pem -cert c1.pem -cert c2.pem -reqout req.der
Stuur een query naar een OCSP-responder met URL http://ocsp.myhost.com/ sla het antwoord op in a
bestand en print het uit in tekstvorm
openssl ocsp -uitgever issuer.pem -cert c1.pem -cert c2.pem \
-url http://ocsp.myhost.com/ -resp_text -respout resp.der
Lees een OCSP-antwoord in en druk het tekstformulier af:
openssl ocsp -respin resp.der -tekst
OCSP-server op poort 8888 met behulp van een standaard ca configuratie en een aparte responder
certificaat. Alle verzoeken en antwoorden worden naar een bestand afgedrukt.
openssl ocsp -index demoCA/index.txt -poort 8888 -rsigner rcert.pem -CA demoCA/cacert.pem
-text -out log.txt
Zoals hierboven, maar sluit af na het verwerken van één verzoek:
openssl ocsp -index demoCA/index.txt -poort 8888 -rsigner rcert.pem -CA demoCA/cacert.pem
-naanvraag 1
Statusinformatie opvragen met behulp van een intern gegenereerd verzoek:
openssl ocsp -index demoCA/index.txt -rsigner rcert.pem -CA demoCA/cacert.pem
-uitgever demoCA/cacert.pem -serieel 1
Statusinformatie opvragen met behulp van een verzoek om uit een bestand te lezen, en een antwoord naar een tweede bestand te schrijven.
openssl ocsp -index demoCA/index.txt -rsigner rcert.pem -CA demoCA/cacert.pem
-reqin req.der -respout resp.der
GESCHIEDENIS
De -no_alt_chains opties zijn voor het eerst toegevoegd aan OpenSSL 1.0.2b.
Gebruik ocspssl online met behulp van onworks.net-services
