Ito ang command na ocspssl na maaaring patakbuhin sa OnWorks na libreng hosting provider gamit ang isa sa aming maramihang libreng online na workstation gaya ng Ubuntu Online, Fedora Online, Windows online emulator o MAC OS online emulator
PROGRAMA:
NAME
ocsp - Utility ng Online Certificate Status Protocol
SINOPSIS
openssl ocsp [-labas file] [-tagapagbigay file] [-cert file] [-serye n] [-pumirma file] [-signkey
file] [-sign_other file] [-walang_certs] [-req_text] [-resp_text] [-text] [-reqout file]
[-sagot file] [-reqin file] [-tugon file] [-nonce] [-wala_nonce] [-url URL] [-host
host:n] [- landas] [-CApath dir] [-CAfile file] [-walang_alt_chain]] [-VAfile file]
[-panahon_bisa n] [-status_age n] [-noverify] [-verify_other file] [-tiwala_sa iba]
[-walang_intern] [-no_signature_verify] [-no_cert_verify] [-walang_kadena] [-walang_cert_checks]
[-walang_hayag] [-port num] [-index file] [-CA file] [-rsigner file] [-rkey file] [-rother
file] [-resp_no_certs] [-nmin n] [-mga araw n] [-resp_key_id] [-kahilingan n] [-md5|-sha1|...]
DESCRIPTION
Ang Online Certificate Status Protocol (OCSP) ay nagbibigay-daan sa mga application na matukoy ang
(pagbawi) estado ng isang natukoy na sertipiko (RFC 2560).
Ang ocsp Ang command ay gumaganap ng maraming karaniwang gawain sa OCSP. Maaari itong magamit upang mag-print ng mga kahilingan at
mga tugon, lumikha ng mga kahilingan at magpadala ng mga query sa isang tumutugon sa OCSP at kumilos na parang mini
OCSP server mismo.
OCSP PAKIKITA Opsyon
-labas filename
tukuyin ang output filename, ang default ay karaniwang output.
-tagapagbigay filename
Tinutukoy nito ang kasalukuyang sertipiko ng nagbigay. Maaaring gamitin ang opsyong ito nang maraming beses.
Ang sertipiko na tinukoy sa filename dapat nasa PEM format. Ang pagpipiliang ito Dapat Dumating
bago pa man -cert mga pagpipilian.
-cert filename
Idagdag ang sertipiko filename sa kahilingan. Ang sertipiko ng nagbigay ay kinuha mula sa
nakaraan issuer opsyon, o may naganap na error kung walang tinukoy na sertipiko ng tagabigay.
-serye num
Kapareho ng cert opsyon maliban sa sertipiko na may serial number num ay idinagdag sa
hiling. Ang serial number ay binibigyang-kahulugan bilang isang decimal integer maliban kung naunahan ng 0x.
Ang mga negatibong integer ay maaari ding tukuyin sa pamamagitan ng unahan ng halaga ng a - tanda.
-pumirma filename, -signkey filename
Lagdaan ang kahilingan sa OCSP gamit ang sertipiko na tinukoy sa tanda opsyon at ang
pribadong susi na tinukoy ng signkey opsyon. Kung ang signkey wala ang opsyon noon
ang pribadong key ay binabasa mula sa parehong file bilang ang sertipiko. Kung walang pagpipilian
tinukoy pagkatapos ay hindi nilagdaan ang kahilingan sa OCSP.
-sign_other filename
Mga karagdagang sertipiko na isasama sa nilagdaang kahilingan.
-nonce, -wala_nonce
Magdagdag ng OCSP nonce extension sa isang kahilingan o huwag paganahin ang OCSP nonce na karagdagan. Karaniwan kung
isang kahilingan sa OCSP ay input gamit ang tumugon opsyon walang nonce ay idinagdag: gamit ang sugo ng papa
pipilitin ng opsyon ang pagdaragdag ng isang nonce. Kung ang isang kahilingan sa OCSP ay ginagawa (gamit ang
cert at serye mga pagpipilian) ang isang nonce ay awtomatikong idinagdag na tumutukoy wala_nonce overrides
na ito.
-req_text, -resp_text, -text
i-print ang text form ng kahilingan ng OCSP, tugon o pareho ayon sa pagkakabanggit.
-reqout file, -sagot file
isulat ang kahilingan o tugon sa certificate na naka-encode ng DER file.
-reqin file, -tugon file
basahin ang OCSP request o response file mula sa file. Binabalewala ang opsyong ito kung humiling ang OCSP
o ang paggawa ng tugon ay ipinahihiwatig ng iba pang mga opsyon (halimbawa sa serye, cert at
marami mga pagpipilian).
-url responder_url
tukuyin ang URL ng tumutugon. Parehong maaaring tukuyin ang mga URL ng HTTP at HTTPS (SSL/TLS).
-host hostname:port, - landas pangalan ng landas
kung ang marami ang opsyon ay naroroon pagkatapos ang kahilingan ng OCSP ay ipinadala sa host hostname on
port port. landas tumutukoy sa HTTP path name na gagamitin o "/" bilang default.
-timeout segundo
timeout ng koneksyon sa OCSP responder sa ilang segundo
-CAfile file, -CApath pangalan ng landas
file o pathname na naglalaman ng mga pinagkakatiwalaang CA certificate. Ang mga ito ay ginagamit upang i-verify ang
lagda sa tugon ng OCSP.
-walang_alt_chain
Tingnan patunayan manu-manong pahina para sa mga detalye.
-verify_other file
file na naglalaman ng mga karagdagang certificate na hahanapin kapag sinusubukang hanapin ang OCSP
sertipiko ng pagpirma ng tugon. Inalis ng ilang tumutugon ang aktwal na sertipiko ng lumagda
mula sa tugon: ang opsyong ito ay maaaring gamitin upang maibigay ang kinakailangang sertipiko sa naturang
mga kaso.
-tiwala_sa iba
ang mga sertipiko na tinukoy ng -verify_other ang opsyon ay dapat na tahasang pinagkakatiwalaan
at walang karagdagang pagsusuri ang isasagawa sa kanila. Ito ay kapaki-pakinabang kapag ang kumpleto
hindi available ang chain ng certificate ng responder o hindi angkop ang pagtitiwala sa root CA.
-VAfile file
file na naglalaman ng tahasang pinagkakatiwalaang mga sertipiko ng tagatugon. Katumbas ng
-verify_other at -tiwala_sa iba mga pagpipilian.
-noverify
huwag subukang i-verify ang pirma ng tugon ng OCSP o ang mga halaga ng nonce. Ang pagpipiliang ito
ay karaniwang gagamitin lamang para sa pag-debug dahil hindi pinapagana nito ang lahat ng pag-verify ng
sertipiko ng mga tagatugon.
-walang_intern
huwag pansinin ang mga sertipiko na nilalaman sa tugon ng OCSP kapag naghahanap para sa mga pumirma
sertipiko. Sa pagpipiliang ito, dapat na tukuyin ang sertipiko ng mga pumirma sa alinman
ang -verify_other or -VAfile mga pagpipilian.
-no_signature_verify
huwag suriin ang pirma sa tugon ng OCSP. Dahil ang pagpipiliang ito ay pinahihintulutan na hindi wasto
mga lagda sa mga tugon ng OCSP na karaniwan lamang itong gagamitin para sa mga layunin ng pagsubok.
-no_cert_verify
huwag i-verify ang sertipiko ng mga lumagda sa tugon ng OCSP. Dahil pinapayagan ng pagpipiliang ito
ang tugon ng OCSP na lalagdaan ng anumang sertipiko na dapat lamang itong gamitin para sa pagsubok
mga layunin.
-walang_kadena
huwag gumamit ng mga sertipiko sa tugon bilang karagdagang hindi pinagkakatiwalaang mga sertipiko ng CA.
-walang_hayag
huwag tahasang magtiwala sa root CA kung ito ay nakatakdang pagkatiwalaan para sa OCSP signing.
-walang_cert_checks
huwag magsagawa ng anumang karagdagang pagsusuri sa sertipiko ng mga lumagda sa tugon ng OCSP. Yan ay
huwag gumawa ng anumang mga pagsusuri upang makita kung ang sertipiko ng mga pumirma ay awtorisado na ibigay ang
kinakailangang impormasyon sa katayuan: bilang resulta ang opsyong ito ay dapat lamang gamitin para sa pagsubok
mga layunin.
-panahon_bisa nsec, -status_age edad
tinutukoy ng mga opsyong ito ang hanay ng mga oras, sa mga segundo, na papahintulutan sa isang
tugon ng OCSP. Ang bawat tugon sa status ng sertipiko ay may kasamang a hindi Bago oras at isang
opsyonal hindiPagkatapos oras. Ang kasalukuyang oras ay dapat mahulog sa pagitan ng dalawang halagang ito, ngunit ang
ang pagitan ng dalawang beses ay maaaring ilang segundo lamang. Sa pagsasagawa ng OCSP
responder at mga orasan ng mga kliyente ay maaaring hindi tiyak na naka-synchronize at kaya ang naturang pagsusuri ay maaaring
mabibigo. Upang maiwasan ito ang -panahon_bisa maaaring gamitin ang opsyon upang tukuyin ang isang katanggap-tanggap
saklaw ng error sa mga segundo, ang default na halaga ay 5 minuto.
Kung ang hindiPagkatapos ang oras ay tinanggal mula sa isang tugon at nangangahulugan ito na ang bagong katayuan
agad na makukuha ang impormasyon. Sa kasong ito ang edad ng hindi Bago ang patlang ay
sinuri upang makitang hindi ito mas matanda sa edad segundong gulang. Bilang default, ang karagdagang tseke na ito
ay hindi ginaganap.
-md5|-sha1|-sha256|-ripemod160|...
ang opsyong ito ay nagtatakda ng digest algorithm na gagamitin para sa pagkilala sa sertipiko sa OCSP
hiling. Bilang default, ginagamit ang SHA-1.
OCSP SERVER Opsyon
-index indexfile
indexfile ay isang text index file sa ca format na naglalaman ng pagbawi ng sertipiko
impormasyon.
Kung ang index ang pagpipilian ay tinukoy ang ocsp nasa responder mode ang utility, kung hindi man
ay nasa client mode. Maaaring tukuyin ang (mga) kahilingan kung saan ang mga proseso ng tumutugon
ang command line (gamit issuer at serye mga opsyon), na ibinigay sa isang file (gamit ang
tumugon opsyon) o sa pamamagitan ng mga panlabas na kliyente ng OCSP (kung port or url ay tinukoy).
Kung ang index ang opsyon ay naroroon pagkatapos ay ang CA at rsigner ang mga pagpipilian ay dapat ding naroroon.
-CA file
CA certificate na naaayon sa impormasyon sa pagbawi sa indexfile.
-rsigner file
Ang sertipiko upang lagdaan ang mga tugon ng OCSP.
-rother file
Mga karagdagang certificate na isasama sa tugon ng OCSP.
-resp_no_certs
Huwag isama ang anumang mga sertipiko sa tugon ng OCSP.
-resp_key_id
Kilalanin ang sertipiko ng lumagda gamit ang key ID, ang default ay ang paggamit ng pangalan ng paksa.
-rkey file
Ang pribadong key para lagdaan ang mga tugon ng OCSP gamit ang: kung hindi ipakita ang file na tinukoy sa
rsigner ginagamit ang opsyon.
-port portnum
Port upang makinig sa mga kahilingan sa OCSP. Ang port ay maaari ding tukuyin gamit ang url
pagpipilian.
-kahilingan numero
Ang OCSP server ay lalabas pagkatapos matanggap numero mga kahilingan, default na walang limitasyon.
-nmin minuto, -mga araw araw
Bilang ng mga minuto o araw kung kailan available ang bagong impormasyon sa pagbawi: ginamit sa
nextUpdate patlang. Kung walang opsyon ang naroroon, ang nextUpdate ang field ay tinanggal
ibig sabihin ay agad na makukuha ang bagong impormasyon sa pagbawi.
OCSP tugon pagpapatunay.
Ang OCSP Response ay sumusunod sa mga panuntunang tinukoy sa RFC2560.
Sa una ang OCSP responder certificate ay matatagpuan at ang lagda sa OCSP request
nasuri gamit ang pampublikong susi ng sertipiko ng tagatugon.
Pagkatapos ay isasagawa ang isang normal na pag-verify ng sertipiko sa gusali ng sertipiko ng tagatugon ng OCSP
up ng isang certificate chain sa proseso. Ang mga lokasyon ng mga pinagkakatiwalaang certificate dati
bumuo ng kadena ay maaaring tinukoy ng CAfile at CApath mga pagpipilian o sila ay titingnan
para sa karaniwang direktoryo ng mga sertipiko ng OpenSSL.
Kung nabigo ang paunang pag-verify, hihinto ang proseso ng pag-verify ng OCSP nang may error.
Kung hindi, ang nagbibigay ng CA certificate sa kahilingan ay inihambing sa OCSP responder
sertipiko: kung may tugma, magtatagumpay ang pag-verify ng OCSP.
Kung hindi, ang CA ng OCSP responder certificate ay nasusuri laban sa nag-isyu ng CA
sertipiko sa kahilingan. Kung mayroong tugma at ang OCSPSigning extended key na paggamit ay
naroroon sa OCSP responder certificate pagkatapos ay magtagumpay ang OCSP verify.
Kung hindi man, kung -walang_hayag is hindi itakda ang root CA ng mga tumutugon sa OCSP kung saan naka-check ang CA
tingnan kung pinagkakatiwalaan ito para sa pagpirma ng OCSP. Kung ito ay ang OCSP verify ay magtagumpay.
Kung wala sa mga pagsusuring ito ang matagumpay, mabibigo ang pag-verify ng OCSP.
Ano ang epektibong ibig sabihin nito kung iyon ay kung ang OCSP responder certificate ay awtorisado
direkta ng CA na naglalabas ito ng impormasyon sa pagbawi tungkol sa (at ito ay tama
na-configure) pagkatapos ay magtatagumpay ang pag-verify.
Kung ang tumutugon sa OCSP ay isang "global na tagatugon" na maaaring magbigay ng mga detalye tungkol sa maraming CA
at may sariling hiwalay na chain ng certificate kung gayon ang root CA nito ay mapagkakatiwalaan para sa OCSP
pagpirma. Halimbawa:
openssl x509 -sa ocspCA.pem -addtrust OCSPSigning -out trustedCA.pem
Bilang kahalili, ang certificate ng responder mismo ay maaaring tahasang mapagkakatiwalaan sa -VAfile
pagpipilian.
NOTA
Gaya ng nabanggit, karamihan sa mga opsyon sa pag-verify ay para sa mga layunin ng pagsubok o pag-debug. Normal lang
ang -CApath, -CAfile at (kung ang tumugon ay isang 'global VA') -VAfile kailangang maging mga pagpipilian
ginagamit.
Ang OCSP server ay kapaki-pakinabang lamang para sa mga layunin ng pagsubok at pagpapakita: hindi talaga
magagamit bilang isang buong tumutugon sa OCSP. Naglalaman lamang ito ng napakasimpleng paghawak ng kahilingan sa HTTP at
maaari lamang pangasiwaan ang POST form ng OCSP query. Pinangangasiwaan din nito ang mga kahilingan sa serial na kahulugan
hindi ito makakatugon sa mga bagong kahilingan hangga't hindi nito naproseso ang kasalukuyan. Ang index ng teksto
Ang format ng file ng pagbawi ay hindi rin mahusay para sa malalaking dami ng data ng pagbawi.
Posibleng patakbuhin ang ocsp application sa responder mode sa pamamagitan ng CGI script gamit ang
tumugon at repout mga pagpipilian.
HALIMBAWA
Lumikha ng kahilingan sa OCSP at isulat ito sa isang file:
openssl ocsp -issuer issuer.pem -cert c1.pem -cert c2.pem -reqout req.der
Magpadala ng query sa isang OCSP responder na may URL http://ocsp.myhost.com/ i-save ang tugon sa a
file at i-print ito sa text form
openssl ocsp -issuer issuer.pem -cert c1.pem -cert c2.pem \
-url http://ocsp.myhost.com/ -resp_text -respout resp.der
Magbasa sa isang tugon ng OCSP at mag-print ng text form:
openssl ocsp -respin resp.der -text
OCSP server sa port 8888 gamit ang isang pamantayan ca configuration, at isang hiwalay na tagatugon
sertipiko. Ang lahat ng mga kahilingan at tugon ay naka-print sa isang file.
openssl ocsp -index demoCA/index.txt -port 8888 -rsigner rcert.pem -CA demoCA/cacert.pem
-text -out log.txt
Tulad ng nasa itaas ngunit lumabas pagkatapos ng pagproseso ng isang kahilingan:
openssl ocsp -index demoCA/index.txt -port 8888 -rsigner rcert.pem -CA demoCA/cacert.pem
-kahilingan 1
Impormasyon sa katayuan ng query gamit ang panloob na nabuong kahilingan:
openssl ocsp -index demoCA/index.txt -rsigner rcert.pem -CA demoCA/cacert.pem
-issuer demoCA/cacert.pem -serial 1
Query status ng impormasyon gamit ang kahilingan basahin mula sa isang file, isulat ang tugon sa isang pangalawang file.
openssl ocsp -index demoCA/index.txt -rsigner rcert.pem -CA demoCA/cacert.pem
-reqin req.der -respout resp.der
KASAYSAYAN
Ang -no_alt_chains na mga opsyon ay unang idinagdag sa OpenSSL 1.0.2b.
Gumamit ng ocspssl online gamit ang mga serbisyo ng onworks.net
