Questions tagged «ocsp»

最近发现的令人讨厌的漏洞已促使证书颁发机构重新颁发证书。 在发现流血的漏洞之前，我已经生成了两个证书。SSL发行者告诉我重新生成证书后，我已经用新证书更新了两个服务器/域。 如果我的理解是正确的，则旧证书应已由CA吊销，并且应已加入CRL（证书吊销列表）或OCSP数据库（在线证书状态协议），否则从技术上讲，某人可以执行“攻击中的“攻击者”，即从受感染证书中获取的信息中重新生成证书。 有没有办法检查我的旧证书是否已达到CRL和OCSP。如果没有，没有办法让他们加入进来吗？ 更新：这种情况是我已经替换了我的证书，我所拥有的只是旧证书的.crt文件，因此使用url进行检查实际上是不可能的。

23 linux  ssl  heartbleed  crl  ocsp 

此问题已从超级用户迁移，因为可以在服务器故障时回答。 迁移 9年前。 我正在测试CMTS设备的证书吊销功能。这需要我设置OCSP响应程序。由于它将仅用于测试，因此我认为由OpenSSL提供的最少实现就足够了。 我已经从电缆调制解调器中提取了一个证书，将其复制到我的PC并将其转换为PEM格式。现在，我想在OpenSSL OCSP数据库中注册它并启动服务器。 我已经完成了所有这些步骤，但是当我执行客户端请求时，服务器始终以“未知”响应。似乎完全不知道我的证书的存在。 如果有人愿意看一下我的代码，我将不胜感激。为了方便起见，我创建了一个脚本，其中包括从设置CA到启动服务器的所有已使用命令的顺序列表：http : //code.google.com/p/stacked-crooked/source/browse/主干/其他/OpenSSL/AllCommands.sh 您还可以找到自定义配置文件和我正在测试的证书：http : //code.google.com/p/stacked-crooked/source/browse/trunk/Misc/OpenSSL/ 任何帮助将不胜感激。

22 openssl  ocsp 

我是从头开始设置SSL的新手，并做了我的第一步。我从RapidSSL购买了我的域的SSL证书，然后按照步骤安装了该证书。通常，该证书有效并且可以在我的Web服务器上运行（nginx v1.4.6-Ubuntu 14.04.1 LTS），但是如果我尝试激活OCSP OCSP，我的nginx error.log中会出现以下错误： OCSP_basic_verify（）失败（SSL：错误：27069065：OCSP例程：OCSP_basic_verify：证书验证错误：验证错误：无法获得本地发行者证书），同时请求证书状态，响应者：gv.symcd.com 我也从命令行使用此命令尝试了它： openssl s_client -connect mydomain.tld：443 2>＆1 </ dev / null 并在我的error.log中得到了“相同”错误： [...] SSL会话：协议：TLSv1.2密码：ECDHE-RSA-AES256-GCM-SHA384 [...]开始时间：1411583991超时：300（秒）验证返回码：20（无法获取本地代码）发行人证书） 但是，如果下载GeoTrust根证书并尝试使用以下命令： openssl s_client -connect mydomain.tld：443 -CAfile GeoTrust_Global_CA.pem 2>＆1 </ dev / null 验证可以： [...] SSL会话：协议：TLSv1.2密码：ECDHE-RSA-AES256-GCM-SHA384 [...]开始时间：1411583262超时：300（秒）验证返回码：0（确定） 因此，找不到或未提供GeoTrust根证书。 我的nginx网站配置： server { listen 443; server_name mydomain.tld; ssl on; ssl_certificate /etc/ssl/certs/ssl.crt; ssl_certificate_key …

17 nginx  ssl-certificate  ubuntu-14.04  ocsp 

谁能推荐适用于Windows或Linux的免费，简单的OCSP服务器？

14 security  certificate  ocsp 

我正在尝试设置OCSP验证例程，因此想先适应环境。在例如OpenSSL上找到了出色的教程：针对OCSP手动验证证书。 出现多个问题，请耐心等待。 自该教程以来，已经进行了一些更改，但是我认为要点是： 1）截取您要验证的证书，例如 openssl s_client -connect wikipedia.org:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > wikipedia.pem 2）建立证书链，例如 openssl s_client -connect wikipedia.org:443 -showcerts 2>&1 < /dev/null > chain.pem 然后进行适当的编辑。我发现上面没有提供自签名CA证书GlobalSignRootCA，因此在其中添加了证书。 3）确定ocsp URI，例如 openssl x509 -noout -ocsp_uri -in wikipedia.pem 哪个返回 http://ocsp2.globalsign.com/gsorganizationvalsha2g2 4）调用openssl ocsp客户端，例如 openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp2.globalsign.com/gsorganizationvalsha2g2 哪个返回 …

13 openssl  x509  ocsp 

该ssl_stapling_verify指令到底是什么？是否检查答案的签名是否正确？Nginx官方文档在解释这一点时含糊不清： https://nginx.org/zh-CN/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify 启用或禁用服务器对OCSP响应的验证。 为使验证生效，应使用ssl_trusted_certificate指令将服务器证书颁发者的证书，根证书和所有中间证书配置为受信任的。

11 nginx  ocsp 

由于我想在SSL证书中设置“必须订书钉”属性，因此我进行了一些研究以发现我的所有服务是否都支持OCSP装订。到目前为止，我发现Apache可以使用SSLLabs.com进行确认。 但是除此之外，我无法确认我的其他两个服务（SMTP和IMAP）是否也支持OCSP装订。现在我的问题是，Postfix和Dovecot是否也支持它？ PS：我知道证书对于邮件传输似乎并不重要，但是我想避免任何可能的问题，如果我添加了属性，并且客户端可能因此而拒绝工作，而其他人可能会拒绝工作。从中受益。

10 ssl  postfix  dovecot  ocsp