35
muokkausta
Muutokset
Siirry navigaatioon
Siirry hakuun
Ak: Uusi sivu: '''Online Certificate Status Protocol''' (''OCSP'') on varmenteen tilan kyselyyn tarkoitettu yhteyskäytäntö. OCSP:n pääsivulta löytyy yleisempää tieto...
'''Online Certificate Status Protocol''' (''OCSP'') on [[varmenne|varmenteen]] tilan kyselyyn tarkoitettu yhteyskäytäntö. [[OCSP|OCSP:n]] pääsivulta löytyy yleisempää tietoa siitä.
== Digiviraston tarjoamat OCSP palvelut ==
Riipuen henkilökortin generaatiosta varmenteessa on OCSP asetukset joko kokonaan mukana tai vain osittain mukana. Itse sulkulistan päivitys henkilökorteile tapahtuu ilmeisesti reaaliajassa ja jos päivityksiä ei tule niin joka tapauksessa sulkulistat luodaan uudestaan kerran tunnissa ja sulkulistatieto on voimassa kahdeksan tuntia, vaikka siis uusi tuleekin jo vähintään tunnin päästä.
Intermediate CA:n sulkulista on voimassa vuoden verran.
Eli alla olevissa esimerkeissä näkyy että G1 henkilökorttien '''This Update''' sulkulista on luotu vähän ennen tasatuntia ja G2 henkilökorttien lista vuorostaan pari minuuttia tasatunnin jälkeen.
=== G1: VRK Gov. Root CA ===
Intermediate CA:ssa ei ole OCSP tietoja, joten järjestelmät eivät voi tarkistaa sitä automaattisesti. Tarkistuksen voi kuitenkin tehdä http://ocsp.fineid.fi/vrkrootc urlista.
<pre>
openssl ocsp -CApath certs -issuer certs/vrkrootc.pem -cert certs/vrkcqc2.pem -url http://ocsp.fineid.fi/vrkrootc
Response verify OK
certs/vrkcqc2.pem: good
This Update: Dec 4 07:32:45 2020 GMT
Next Update: Dec 4 07:32:45 2021 GMT
</pre>
Itse henkilövarmenteessa on OCSP tiedot mukana:
<pre>
openssl x509 -in certs/cert1.pem -text -noout
Certificate:
...
Authority Information Access:
CA Issuers - URI:http://proxy.fineid.fi/ca/vrkcqc2.crt
OCSP - URI:http://ocsp.fineid.fi/vrkcqc2
...
</pre>
jolloin tarkistuksen voi tehdä esim seuraavasti:
<pre>
openssl ocsp -CApath certs -issuer certs/vrkcqc2.pem -cert certs/cert1.pem -url http://ocsp.fineid.fi/vrkcqc2
Response verify OK
certs/cert1.pem: good
This Update: Mar 17 17:58:59 2021 GMT
Next Update: Mar 18 01:58:59 2021 GMT
</pre>
=== G2: VRK Gov. Root CA - G2 ===
Sekä henkilövarmenteessa että Intermediate CA:ssa on OCSP tiedot mukana.
<pre>
openssl x509 -in certs/vrkcqc3.pem -text -noout
Certificate:
...
Authority Information Access:
OCSP - URI:http://ocsp.fineid.fi/vrkroot2c
CA Issuers - URI:http://proxy.fineid.fi/ca/vrkroot2c.crt
...
</pre>
Eli tarkistus tapahtuu esim seuraavasti:
<pre>
openssl ocsp -CApath certs -issuer certs/vrkroot2c.pem -cert certs/vrkcqc3.pem -url http://ocsp.fineid.fi/vrkroot2c
Response verify OK
certs/vrkcqc3.pem: good
This Update: Jun 15 07:44:17 2020 GMT
Next Update: Jun 15 07:44:17 2021 GMT
</pre>
Ja vastaavasti henkilövarmenteelle:
<pre>
openssl x509 -in certs/cert3.pem -text -noout
Certificate:
...
Authority Information Access:
CA Issuers - URI:http://proxy.fineid.fi/ca/vrkcqc3.crt
OCSP - URI:http://ocsp.fineid.fi/vrkcqc3
...
</pre>
Ja tarkistus tapahtuu esim seuraavasti:
<pre>
openssl ocsp -CApath certs -issuer certs/vrkcqc3.pem -cert certs/cert3.pem -url http://ocsp.fineid.fi/vrkcqc3
Response verify OK
certs/cert3.pem: good
This Update: Mar 17 18:01:32 2021 GMT
Next Update: Mar 18 02:01:32 2021 GMT
</pre>
== Digiviraston tarjoamat OCSP palvelut ==
Riipuen henkilökortin generaatiosta varmenteessa on OCSP asetukset joko kokonaan mukana tai vain osittain mukana. Itse sulkulistan päivitys henkilökorteile tapahtuu ilmeisesti reaaliajassa ja jos päivityksiä ei tule niin joka tapauksessa sulkulistat luodaan uudestaan kerran tunnissa ja sulkulistatieto on voimassa kahdeksan tuntia, vaikka siis uusi tuleekin jo vähintään tunnin päästä.
Intermediate CA:n sulkulista on voimassa vuoden verran.
Eli alla olevissa esimerkeissä näkyy että G1 henkilökorttien '''This Update''' sulkulista on luotu vähän ennen tasatuntia ja G2 henkilökorttien lista vuorostaan pari minuuttia tasatunnin jälkeen.
=== G1: VRK Gov. Root CA ===
Intermediate CA:ssa ei ole OCSP tietoja, joten järjestelmät eivät voi tarkistaa sitä automaattisesti. Tarkistuksen voi kuitenkin tehdä http://ocsp.fineid.fi/vrkrootc urlista.
<pre>
openssl ocsp -CApath certs -issuer certs/vrkrootc.pem -cert certs/vrkcqc2.pem -url http://ocsp.fineid.fi/vrkrootc
Response verify OK
certs/vrkcqc2.pem: good
This Update: Dec 4 07:32:45 2020 GMT
Next Update: Dec 4 07:32:45 2021 GMT
</pre>
Itse henkilövarmenteessa on OCSP tiedot mukana:
<pre>
openssl x509 -in certs/cert1.pem -text -noout
Certificate:
...
Authority Information Access:
CA Issuers - URI:http://proxy.fineid.fi/ca/vrkcqc2.crt
OCSP - URI:http://ocsp.fineid.fi/vrkcqc2
...
</pre>
jolloin tarkistuksen voi tehdä esim seuraavasti:
<pre>
openssl ocsp -CApath certs -issuer certs/vrkcqc2.pem -cert certs/cert1.pem -url http://ocsp.fineid.fi/vrkcqc2
Response verify OK
certs/cert1.pem: good
This Update: Mar 17 17:58:59 2021 GMT
Next Update: Mar 18 01:58:59 2021 GMT
</pre>
=== G2: VRK Gov. Root CA - G2 ===
Sekä henkilövarmenteessa että Intermediate CA:ssa on OCSP tiedot mukana.
<pre>
openssl x509 -in certs/vrkcqc3.pem -text -noout
Certificate:
...
Authority Information Access:
OCSP - URI:http://ocsp.fineid.fi/vrkroot2c
CA Issuers - URI:http://proxy.fineid.fi/ca/vrkroot2c.crt
...
</pre>
Eli tarkistus tapahtuu esim seuraavasti:
<pre>
openssl ocsp -CApath certs -issuer certs/vrkroot2c.pem -cert certs/vrkcqc3.pem -url http://ocsp.fineid.fi/vrkroot2c
Response verify OK
certs/vrkcqc3.pem: good
This Update: Jun 15 07:44:17 2020 GMT
Next Update: Jun 15 07:44:17 2021 GMT
</pre>
Ja vastaavasti henkilövarmenteelle:
<pre>
openssl x509 -in certs/cert3.pem -text -noout
Certificate:
...
Authority Information Access:
CA Issuers - URI:http://proxy.fineid.fi/ca/vrkcqc3.crt
OCSP - URI:http://ocsp.fineid.fi/vrkcqc3
...
</pre>
Ja tarkistus tapahtuu esim seuraavasti:
<pre>
openssl ocsp -CApath certs -issuer certs/vrkcqc3.pem -cert certs/cert3.pem -url http://ocsp.fineid.fi/vrkcqc3
Response verify OK
certs/cert3.pem: good
This Update: Mar 17 18:01:32 2021 GMT
Next Update: Mar 18 02:01:32 2021 GMT
</pre>
