タグ付けされた質問 「ocsp」

ハートブリードの脆弱性の最近の発見により、認証局は証明書を再発行するようになりました。 heartbleed脆弱性が発見される前に生成された2つの証明書があります。SSL発行者から証明書を再生成するように指示された後、サーバー/ドメインの両方を新しい証明書で更新しました。 私の理解が正しい場合、古い証明書はCAによって失効され、CRL（証明書失効リスト）またはOCSPデータベース（オンライン証明書ステータスプロトコル）に到達する必要があります。そうでない場合、誰かが「侵害された証明書から取得した情報から証明書を再生成することにより、中間者攻撃。 古い証明書がCRLとOCSPに到達したかどうかを確認する方法はありますか。それらが含まれていない場合、それらを含める方法はありますか？ 更新：状況は、既に証明書を置き換えていることです。古い証明書の.crtファイルのみであるため、URLを使用して確認することは実際には不可能です。

23 linux  ssl  heartbleed  crl  ocsp 

この質問は、サーバー障害で回答できるため、スーパーユーザーから移行されました。 9年前に移行し ました。 CMTSデバイスの証明書失効機能をテストしています。これには、OCSPレスポンダーをセットアップする必要があります。テストにのみ使用されるため、OpenSSLが提供する最小限の実装で十分であると想定しています。 ケーブルモデムから証明書を抽出し、PCにコピーして、PEM形式に変換しました。次に、OpenSSL OCSPデータベースに登録してサーバーを起動します。 これらの手順はすべて完了しましたが、クライアント要求を行うと、サーバーは常に「不明」で応答します。私の証明書の存在を完全に知らないようです。 誰かが私のコードを見てみたいと思うなら、私は大いに感謝します。便宜上、CAのセットアップからサーバーの起動まで、使用されるすべてのコマンドの連続リストで構成される単一のスクリプトを作成しました：http : //code.google.com/p/stacked-crooked/source/browse/ trunk / Misc / OpenSSL / AllCommands.sh また、テストするカスタム構成ファイルと証明書を見つけることができます：http : //code.google.com/p/stacked-crooked/source/browse/trunk/Misc/OpenSSL/ どんな助けも大歓迎です。

22 openssl  ocsp 

SSLを最初からセットアップするのは初めてで、最初のステップを実行しました。ドメイン用にRapidSSLからSSL証明書を購入し、そこにある手順に従って証明書をインストールしました。一般に、証明書は有効で私のWebサーバー（nginx v1.4.6-Ubuntu 14.04.1 LTS）で機能していますが、OCSP OCSPをアクティブにしようとすると、nginx error.logに次のエラーが表示されます。 OCSP_basic_verify（）が失敗しました（SSL：エラー：27069065：OCSPルーチン：OCSP_basic_verify：certificate verify error：Verify error：unable to get local issuer certificate）証明書ステータス、レスポンダー：gv.symcd.comの要求中 コマンドラインから次のコマンドでも試してみました： openssl s_client -connect mydomain.tld：443 2>＆1 </ dev / null そして、私のerror.logのような「同じ」エラーを取得しました： [...] SSLセッション：プロトコル：TLSv1.2暗号：ECDHE-RSA-AES256-GCM-SHA384 [...]開始時間：1411583991タイムアウト：300（秒）戻りコードを確認：20（ローカルに取得できません）発行者証明書） ただし、GeoTrust Root Certificatをダウンロードして、次のコマンドで試してみてください。 openssl s_client -connect mydomain.tld：443 -CAfile GeoTrust_Global_CA.pem 2>＆1 </ dev / null 検証は問題ありません： [...] SSLセッション：プロトコル：TLSv1.2暗号：ECDHE-RSA-AES256-GCM-SHA384 [...]開始時間：1411583262タイムアウト：300（秒）戻りコードの検証：0（OK） そのため、どういうわけかGeoTrustルート証明書が見つかりません/配信されません。 私のnginxサイトの構成： server …

17 nginx  ssl-certificate  ubuntu-14.04  ocsp 

誰でもWindowsまたはLinux用の無料のシンプルなOCSPサーバーを推奨できますか？

15 security  certificate  ocsp 

OCSP検証ルーチンを設定しようとしているため、最初に環境に慣れる必要があります。たとえばOpenSSLで優れたチュートリアルが見つかりました：OCSPに対して証明書を手動で検証します。 複数の質問が出ますので、ご容赦ください。 そのチュートリアル以降、いくつかの変更がありましたが、要点は次のとおりです。 1）確認する証明書を取得します。例： openssl s_client -connect wikipedia.org:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > wikipedia.pem 2）証明書チェーンを構築します。 openssl s_client -connect wikipedia.org:443 -showcerts 2>&1 < /dev/null > chain.pem その後、適切に編集します。上記では、自己署名CA証明書であるGlobalSignRootCAが提供されていないことがわかったので、これを追加しました。 3）ocsp URIを決定します。 openssl x509 -noout -ocsp_uri -in wikipedia.pem 戻る http://ocsp2.globalsign.com/gsorganizationvalsha2g2 4）openssl ocspクライアントを呼び出します。 openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp2.globalsign.com/gsorganizationvalsha2g2 戻る …

13 openssl  x509  ocsp 

ssl_stapling_verify指令は正確には何ですか？回答の署名が正しいかどうかを確認しますか？公式のnginxドキュメントはこれを説明するのが非常に曖昧です： https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify サーバーによるOCSP応答の検証を有効または無効にします。 検証を機能させるには、サーバー証明書発行者の証明書、ルート証明書、およびすべての中間証明書を、ssl_trusted_certificateディレクティブを使用して信頼できるものとして構成する必要があります。

11 nginx  ocsp 

私はSSL証明書に「必須」属性を設定したいので、すべてのサービスがOCSPステープリングをサポートしているかどうかを調べるために調査を行っていました。これまでのところ、SSLLabs.comを使用して確認できるApacheが実行していることがわかりました。 しかし、それとは別に、他の2つのサービス（SMTPとIMAP）もOCSPステープリングをサポートしているかどうかは確認できませんでした。今私の質問は、PostfixとDovecotもそれをサポートしていますか？ PS：メールトランスポートに関しては、証明書は重要ではないようですが、属性を追加すると、クライアントがそのために作業を拒否する可能性がある場合、問題が発生するのを避けたいと思います。それから利益を得る。

10 ssl  postfix  dovecot  ocsp