Questions tagged «ocsp»

4
如何检查我的SSL证书是否已被吊销
最近发现的令人讨厌的漏洞已促使证书颁发机构重新颁发证书。 在发现流血的漏洞之前,我已经生成了两个证书。SSL发行者告诉我重新生成证书后,我已经用新证书更新了两个服务器/域。 如果我的理解是正确的,则旧证书应已由CA吊销,并且应已加入CRL(证书吊销列表)或OCSP数据库(在线证书状态协议),否则从技术上讲,某人可以执行“攻击中的“攻击者”,即从受感染证书中获取的信息中重新生成证书。 有没有办法检查我的旧证书是否已达到CRL和OCSP。如果没有,没有办法让他们加入进来吗? 更新:这种情况是我已经替换了我的证书,我所拥有的只是旧证书的.crt文件,因此使用url进行检查实际上是不可能的。
23 linux  ssl  heartbleed  crl  ocsp 

1
OpenSSL:如何设置OCSP服务器以检查第三方证书?
此问题已从超级用户迁移,因为可以在服务器故障时回答。 迁移 9年前。 我正在测试CMTS设备的证书吊销功能。这需要我设置OCSP响应程序。由于它将仅用于测试,因此我认为由OpenSSL提供的最少实现就足够了。 我已经从电缆调制解调器中提取了一个证书,将其复制到我的PC并将其转换为PEM格式。现在,我想在OpenSSL OCSP数据库中注册它并启动服务器。 我已经完成了所有这些步骤,但是当我执行客户端请求时,服务器始终以“未知”响应。似乎完全不知道我的证书的存在。 如果有人愿意看一下我的代码,我将不胜感激。为了方便起见,我创建了一个脚本,其中包括从设置CA到启动服务器的所有已使用命令的顺序列表:http : //code.google.com/p/stacked-crooked/source/browse/主干/其他/OpenSSL/AllCommands.sh 您还可以找到自定义配置文件和我正在测试的证书:http : //code.google.com/p/stacked-crooked/source/browse/trunk/Misc/OpenSSL/ 任何帮助将不胜感激。
22 openssl  ocsp 

2
OCSP验证-无法获得本地发行者证书
我是从头开始设置SSL的新手,并做了我的第一步。我从RapidSSL购买了我的域的SSL证书,然后按照步骤安装了该证书。通常,该证书有效并且可以在我的Web服务器上运行(nginx v1.4.6-Ubuntu 14.04.1 LTS),但是如果我尝试激活OCSP OCSP,我的nginx error.log中会出现以下错误: OCSP_basic_verify()失败(SSL:错误:27069065:OCSP例程:OCSP_basic_verify:证书验证错误:验证错误:无法获得本地发行者证书),同时请求证书状态,响应者:gv.symcd.com 我也从命令行使用此命令尝试了它: openssl s_client -connect mydomain.tld:443 2>&1 </ dev / null 并在我的error.log中得到了“相同”错误: [...] SSL会话:协议:TLSv1.2密码:ECDHE-RSA-AES256-GCM-SHA384 [...]开始时间:1411583991超时:300(秒)验证返回码:20(无法获取本地代码)发行人证书) 但是,如果下载GeoTrust根证书并尝试使用以下命令: openssl s_client -connect mydomain.tld:443 -CAfile GeoTrust_Global_CA.pem 2>&1 </ dev / null 验证可以: [...] SSL会话:协议:TLSv1.2密码:ECDHE-RSA-AES256-GCM-SHA384 [...]开始时间:1411583262超时:300(秒)验证返回码:0(确定) 因此,找不到或未提供GeoTrust根证书。 我的nginx网站配置: server { listen 443; server_name mydomain.tld; ssl on; ssl_certificate /etc/ssl/certs/ssl.crt; ssl_certificate_key …


1
OCSP响应者不存在?
我正在尝试设置OCSP验证例程,因此想先适应环境。在例如OpenSSL上找到了出色的教程:针对OCSP手动验证证书。 出现多个问题,请耐心等待。 自该教程以来,已经进行了一些更改,但是我认为要点是: 1)截取您要验证的证书,例如 openssl s_client -connect wikipedia.org:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > wikipedia.pem 2)建立证书链,例如 openssl s_client -connect wikipedia.org:443 -showcerts 2>&1 < /dev/null > chain.pem 然后进行适当的编辑。我发现上面没有提供自签名CA证书GlobalSignRootCA,因此在其中添加了证书。 3)确定ocsp URI,例如 openssl x509 -noout -ocsp_uri -in wikipedia.pem 哪个返回 http://ocsp2.globalsign.com/gsorganizationvalsha2g2 4)调用openssl ocsp客户端,例如 openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp2.globalsign.com/gsorganizationvalsha2g2 哪个返回 …
13 openssl  x509  ocsp 

2
nginx:ssl_stapling_verify:究竟在验证什么?
该ssl_stapling_verify指令到底是什么?是否检查答案的签名是否正确?Nginx官方文档在解释这一点时含糊不清: https://nginx.org/zh-CN/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify 启用或禁用服务器对OCSP响应的验证。 为使验证生效,应使用ssl_trusted_certificate指令将服务器证书颁发者的证书,根证书和所有中间证书配置为受信任的。
11 nginx  ocsp 

1
Postfix和Dovecot是否支持OCSP装订?
由于我想在SSL证书中设置“必须订书钉”属性,因此我进行了一些研究以发现我的所有服务是否都支持OCSP装订。到目前为止,我发现Apache可以使用SSLLabs.com进行确认。 但是除此之外,我无法确认我的其他两个服务(SMTP和IMAP)是否也支持OCSP装订。现在我的问题是,Postfix和Dovecot是否也支持它? PS:我知道证书对于邮件传输似乎并不重要,但是我想避免任何可能的问题,如果我添加了属性,并且客户端可能因此而拒绝工作,而其他人可能会拒绝工作。从中受益。
10 ssl  postfix  dovecot  ocsp 
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.