La vérification d'un certificat Verisign Serveur OCSP
Je suis d'essayer d'utiliser de Verisign serveur OCSP pour vérifier un certificat qu'elle a émis, par exemple, amazon.com
J'ai le certificat de l'émetteur (ce qui était plutôt difficile à trouver). Ainsi que l'amazone 0 certificat. Je suis à l'aide d'openSSL, mais je ne semble pas être en mesure d'obtenir le droit de répondeur OCSP certificat pour vérifier la réponse.
openssl ocsp -issuer test4-May2009Oc2010.cer -CAfile veri-ssp-intermediate-ca.crt -nonce -cert amazon0.crt -url http://ocsp.verisign.com
Et voici la réponse:
WARNING: no nonce in response
Response Verify Failure
140735084268796:error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:ocsp_vfy.c:122:Verify error:unable to get local issuer certificate
amazon0.crt: good
This Update: Jan 19 00:24:56 2011 GMT
Next Update: Jan 26 00:24:56 2011 GMT
Des suggestions à l'endroit où le certificat correct pour le répondeur OCSP peut-être?
Vous devez vous connecter pour publier un commentaire.
Vous n'avez pas besoin de le répondeur OCSP cert. Votre OCSP demande travaillé et vous avez de nouveau votre réponse: le cert (
amazon0.crt) est bonne, elle n'est pas révoquée. La ligne "pas de nonce en réponse" est dû au fait que VeriSign du répondeur OCSP ne pas envoyer des nonces (en raison du grand volume de certs il doit gérer, VeriSign pré-signe les réponses et, par conséquent, ne peut pas inclure des nonces - il conforme à la norme RFC 5019). Vous pouvez utiliser -no_nonce pour éviter d'envoyer un nonce.À se débarrasser de la "Réponse de Vérifier le message d'erreur" Échec, j'ai ajouté de l'autorité de certification intermédiaire de mon CAfile (dans votre cas, il est appelé
veri-ssp-intermediate-ca.crt). Voici ce que j'ai ajouté:Une fois que je l'ai fait, j'ai eu: