Это команда ocspssl, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
ocsp - Утилита онлайн-протокола статуса сертификата
СИНТАКСИС
OpenSSL оксп [-вне файл] [-эмитент файл] [-серт файл] [-serial n] [-подписчик файл] [-сигнальный ключ
файл] [-sign_other файл] [-no_certs] [-req_text] [-resp_text] [-текст] [-reqout файл]
[-респаут файл] [-рекин файл] [-респин файл] [-ногда] [-no_nonce] [-URL URL] [-хозяин
хост: n] [-дорожка] [-КАпуть директория] [-CA-файл файл] [-no_alt_chains]] [-VAfile файл]
[-срок годности n] [-status_age n] [-не проверить] [-verify_other файл] [-trust_other]
[-no_intern] [-no_signature_verify] [-no_cert_verify] [-no_chain] [-no_cert_checks]
[-no_explicit] [-port Num] [-индекс файл] [-ca файл] [-подрядчик файл] [-ркей файл] [-брат
файл] [-resp_no_certs] [-nмин n] [-дни n] [-resp_key_id] [-nзапрос n] [-md5 | -sha1 | ...]
ОПИСАНИЕ
Протокол статуса онлайн-сертификата (OCSP) позволяет приложениям определять
(отзыв) состояние идентифицированного сертификата (RFC 2560).
Команда оксп Команда выполняет множество общих задач OCSP. Его можно использовать для распечатки запросов и
ответы, создание запросов и отправка запросов ответчику OCSP и поведение как мини
Сам сервер OCSP.
ОССП КЛИЕНТ ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
-вне имя файла
укажите имя файла вывода, по умолчанию - стандартный вывод.
-эмитент имя файла
Это указывает текущий сертификат эмитента. Этот вариант можно использовать несколько раз.
Сертификат, указанный в имя файла должен быть в формате PEM. Этот вариант ОБЯЗАТЕЛЬНО как
перед любым -серт настройки.
-серт имя файла
Добавьте сертификат имя файла на запрос. Сертификат эмитента взят из
предыдущий эмитент параметр, или ошибка возникает, если не указан сертификат эмитента.
-serial Num
Такой же как верняк вариант кроме сертификата с серийным номером Num добавляется в
запрос. Серийный номер интерпретируется как десятичное целое число, если ему не предшествует 0x.
Отрицательные целые числа также можно указать, поставив перед значением - знак.
-подписчик имя файла, -сигнальный ключ имя файла
Подпишите запрос OCSP, используя сертификат, указанный в подписавшийся вариант и
закрытый ключ, указанный знак вариант. Если знак вариант нет тогда
закрытый ключ читается из того же файла, что и сертификат. Если ни один из вариантов не
указано, то запрос OCSP не подписан.
-sign_other имя файла
Дополнительные сертификаты для включения в подписанный запрос.
-ногда, -no_nonce
Добавьте расширение nonce OCSP к запросу или отключите добавление nonce OCSP. Обычно, если
запрос OCSP вводится с использованием респин опция без одноразового номера не добавляется: используя нунций
опция принудительно добавит одноразовый номер. Если создается запрос OCSP (с использованием
верняк и последовательный options) автоматически добавляется одноразовый номер с указанием no_nonce переопределения
.
-req_text, -resp_text, -текст
распечатать текстовую форму запроса OCSP, ответа или обоих соответственно.
-reqout файл, -респаут файл
выпишите запрос сертификата в формате DER или ответ на файл.
-рекин файл, -респин файл
прочитать файл запроса или ответа OCSP из файл. Эти параметры игнорируются, если запрос OCSP
или создание ответа подразумевается другими опциями (например, с последовательный, верняк и
кашель параметры).
-URL Responder_url
укажите URL-адрес респондента. Могут быть указаны URL-адреса HTTP и HTTPS (SSL / TLS).
-хозяин имя хоста: порт, -дорожка пути
если кашель присутствует опция, то запрос OCSP отправляется на хост хоста on
порт порт. путь указывает путь HTTP для использования или "/" по умолчанию.
-тайм-аут секунды
время ожидания соединения с респондентом OCSP в секундах
-CA-файл файл, -КАпуть пути
файл или путь, содержащий доверенные сертификаты ЦС. Они используются для проверки
подпись на ответе OCSP.
-no_alt_chains
Посмотреть проверить страницу руководства для подробностей.
-verify_other файл
файл, содержащий дополнительные сертификаты для поиска при попытке найти OCSP
сертификат подписи ответа. Некоторые респонденты опускают сертификат фактического подписывающего лица.
из ответа: эту опцию можно использовать для предоставления необходимого сертификата в таком
случаи.
-trust_other
сертификаты, указанные -verify_other опция должна быть явно доверенной
и никаких дополнительных проверок по ним производиться не будет. Это полезно, когда полная
Цепочка сертификатов ответчика недоступна, или нельзя доверять корневому ЦС.
-VAfile файл
файл, содержащий явно доверенные сертификаты ответчика. Эквивалентно
-verify_other и -trust_other настройки.
-не проверить
не пытайтесь проверить подпись ответа OCSP или значения nonce. Этот вариант
обычно будет использоваться только для отладки, так как он отключает все проверки
сертификат ответчика.
-no_intern
игнорировать сертификаты, содержащиеся в ответе OCSP, при поиске подписывающих сторон
сертификат. При использовании этого варианта сертификат подписавшего должен быть указан либо
-verify_other or -VAfile настройки.
-no_signature_verify
не проверяйте подпись в ответе OCSP. Поскольку этот вариант допускает недопустимые
подписи в ответах OCSP обычно используется только в целях тестирования.
-no_cert_verify
вообще не проверяйте сертификат подписывающей стороны ответа OCSP. Поскольку эта опция позволяет
ответ OCSP должен быть подписан любым сертификатом, он должен использоваться только для тестирования
целей.
-no_chain
не используйте сертификаты в ответе в качестве дополнительных ненадежных сертификатов ЦС.
-no_explicit
не доверяйте корневому ЦС явно, если он настроен как доверенный для подписи OCSP.
-no_cert_checks
не выполняйте никаких дополнительных проверок сертификата подписывающей стороны ответа OCSP. То есть
не делайте никаких проверок, чтобы убедиться, что подписавший сертификат уполномочен предоставлять
необходимая информация о статусе: в результате эту опцию следует использовать только для тестирования
целей.
-срок годности нсек, -status_age возраст
эти параметры определяют интервал времени в секундах, в течение которого
Ответ OCSP. Каждый ответ о статусе сертификата включает в себя не раньше, чем время и
необязательный непосле время. Текущее время должно находиться между этими двумя значениями, но
интервал между двумя временами может составлять всего несколько секунд. На практике OCSP
часы респондента и клиентов могут быть неточно синхронизированы, поэтому такая проверка может
неудача. Чтобы избежать этого -срок годности опция может использоваться для указания приемлемого
диапазон ошибок в секундах, значение по умолчанию - 5 минут.
Если же линия индикатора непосле время не указано в ответе, это означает, что новый статус
информация доступна немедленно. В этом случае возраст не раньше, чем поле
проверил, что он не старше возраст секунд назад. По умолчанию эта дополнительная проверка
не выполняется.
-md5 | -sha1 | -sha256 | -ripemod160 | ...
эта опция устанавливает алгоритм дайджеста, который будет использоваться для идентификации сертификата в OCSP.
запрос. По умолчанию используется SHA-1.
ОССП SERVER ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
-индекс индексный файл
индексный файл это текстовый индексный файл в ca формат, содержащий отзыв сертификата
Информация.
Если же линия индикатора индекс опция указывается оксп утилита находится в режиме респондента, в противном случае она
находится в клиентском режиме. Запрос (ы), обрабатываемый респондентом, может быть указан на
командная строка (используя эмитент и последовательный опции), поставляемые в файле (с помощью
респин вариант) или через внешних клиентов OCSP (если порт or URL указано).
Если же линия индикатора индекс вариант присутствует тогда CA и подписчик варианты тоже должны присутствовать.
-ca файл
Сертификат ЦС, соответствующий информации об отзыве в индексный файл.
-подрядчик файл
Сертификат для подписи ответов OCSP.
-брат файл
Дополнительные сертификаты для включения в ответ OCSP.
-resp_no_certs
Не включайте сертификаты в ответ OCSP.
-resp_key_id
Идентифицируйте подписывающий сертификат с помощью идентификатора ключа, по умолчанию используется имя субъекта.
-ркей файл
Закрытый ключ для подписи ответов OCSP: если отсутствует файл, указанный в
подписчик опция используется.
-port портнум
Порт для прослушивания запросов OCSP. Порт также можно указать с помощью URL
опцию.
-nзапрос номер
Сервер OCSP выйдет после получения номер запросов, по умолчанию без ограничений.
-nмин минут, -дни дня
Количество минут или дней, когда доступна свежая информация об отзыве: используется в
следующее обновление поле. Если ни один из вариантов отсутствует, то следующее обновление поле опущено
Это означает, что свежая информация об отзыве доступна немедленно.
ОССП Режимы секции мощности верификацию.
Ответ OCSP следует правилам, указанным в RFC2560.
Первоначально сертификат ответчика OCSP находится и подпись запроса OCSP
проверяется с помощью открытого ключа сертификата ответчика.
Затем выполняется обычная проверка сертификата для построения сертификата ответчика OCSP.
цепочку сертификатов в процессе. Расположение доверенных сертификатов, используемых для
построить цепочку можно с помощью CA-файл и CApath варианты или они будут просмотрены
для в стандартном каталоге сертификатов OpenSSL.
Если первоначальная проверка завершилась неудачно, процесс проверки OCSP останавливается с ошибкой.
В противном случае сертификат ЦС, выдавший в запросе, сравнивается с респондентом OCSP.
сертификат: если есть совпадение, проверка OCSP завершается успешно.
В противном случае ЦС сертификата ответчика OCSP проверяется на выдающий ЦС.
сертификат в запросе. Если есть совпадение и используется расширенный ключ OCSPSigning,
присутствует в сертификате ответчика OCSP, то проверка OCSP завершается успешно.
В противном случае, если -no_explicit is установить корневой ЦС ответчиков OCSP, проверяемый ЦС
посмотрите, является ли он доверенным для подписи OCSP. Если это проверка OCSP, успешно.
Если ни одна из этих проверок не прошла успешно, проверка OCSP завершится ошибкой.
Что это на самом деле означает, если сертификат ответчика OCSP авторизован?
непосредственно центром сертификации, о котором он выдает информацию об отзыве (и это правильно
настроен), то проверка будет успешной.
Если респондент OCSP является «глобальным респондентом», который может предоставить подробную информацию о нескольких центрах сертификации
и имеет свою собственную отдельную цепочку сертификатов, тогда его корневому ЦС можно доверять для OCSP
подписание. Например:
openssl x509 -in ocspCA.pem -addtrust OCSPSigning -out trustCA.pem
В качестве альтернативы самому сертификату респондента можно явно доверять -VAfile
опцию.
ПРИМЕЧАНИЯ
Как уже отмечалось, большинство параметров проверки предназначены для тестирования или отладки. Обычно только
-КАпуть, -CA-файл и (если отвечающий является «глобальным VA») -VAfile варианты должны быть
используемый.
Сервер OCSP полезен только для тестовых и демонстрационных целей: на самом деле это не так.
может использоваться как полноценный респондент OCSP. Он содержит только очень простую обработку HTTP-запросов и
может обрабатывать только POST-форму запросов OCSP. Он также обрабатывает запросы поочередно, что означает
он не может отвечать на новые запросы, пока не обработает текущий. Текстовый указатель
Формат файла отзыва также неэффективен для больших объемов данных отзыва.
Можно запустить оксп приложение в режиме респондента через сценарий CGI, используя
респин и респаут настройки.
ПРИМЕРЫ
Создайте запрос OCSP и запишите его в файл:
openssl ocsp -issuer Issuer.pem -cert c1.pem -cert c2.pem -reqout req.der
Отправить запрос ответчику OCSP с URL-адресом http://ocsp.myhost.com/ сохранить ответ на
файл и распечатать его в текстовом виде
openssl ocsp -issuer Issuer.pem -cert c1.pem -cert c2.pem \
-URL http://ocsp.myhost.com/ -resp_text -respout соответственноder
Прочтите ответ OCSP и распечатайте текстовую форму:
openssl ocsp -respin соответственноder -text
Сервер OCSP на порту 8888 с использованием стандартного ca конфигурация и отдельный респондент
сертификат. Все запросы и ответы распечатываются в файл.
openssl ocsp -index demoCA / index.txt -port 8888 -rsigner rcert.pem -CA demoCA / cacert.pem
-текст -out log.txt
То же, что и выше, но выйдите после обработки одного запроса:
openssl ocsp -index demoCA / index.txt -port 8888 -rsigner rcert.pem -CA demoCA / cacert.pem
-nзапрос 1
Информация о статусе запроса с использованием внутреннего запроса:
openssl ocsp -index demoCA / index.txt -rsigner rcert.pem -CA demoCA / cacert.pem
-issuer demoCA / cacert.pem -serial 1
Запросить информацию о статусе, используя запрос, прочитанный из файла, записать ответ во второй файл.
openssl ocsp -index demoCA / index.txt -rsigner rcert.pem -CA demoCA / cacert.pem
-reqin req.der -respout соотв.der
ИСТОРИЯ
Параметры -no_alt_chains впервые были добавлены в OpenSSL 1.0.2b.
Используйте ocspssl онлайн с помощью сервисов onworks.net
