Ero sivun ”OCSP” versioiden välillä

Kohteesta DigiWiki
Siirry navigaatioon Siirry hakuun
Rivi 1: Rivi 1:
 
'''Online Certificate Status Protocol''' (''OCSP'') on [[varmenne|varmenteen]] tilan kyselyyn tarkoitettu yhteyskäytäntö.
 
'''Online Certificate Status Protocol''' (''OCSP'') on [[varmenne|varmenteen]] tilan kyselyyn tarkoitettu yhteyskäytäntö.
 +
 +
== OCSP:n käyttö openssl:llä ==
 +
 +
Openssl:llä voi hakea OCSP hakuja ja tarkistaa varmenteen oikeellisuuta.
 +
 +
Urli mistä OCSP haut tehdään löyty varmenteesta itsestään '''Authority Information Access''' nimisestä kentästä. Tuon saa haettua openssl:llä esim seuraavasti:
 +
 +
  OCSP=`openssl x509 -in cert.pem -text -noout | fgrep OCSP | sed 's/.*URI://g'`
 +
 +
Kun tuo urli on saatu niin voit tehdä ocsp haun käyttäen seuraavaa komentoa:
 +
 +
  openssl ocsp -CApath certs -issuer certs/vrkcqc3.pem -cert cert.pem -url $OCSP
 +
 +
missä '''certs''' hakemistossa on vrkcqc3.pem ja vrkroot2c.pem tiedostot ja niiden symlinkit. Tuon hakemiston saa tehtyä seuraavilla komennoilla.
 +
 +
  mkdir certs
 +
  for i in vrkroot2c vrkcqc3
 +
  do
 +
    echo Fetching http://proxy.fineid.fi/ca/$i.crt
 +
    wget --quiet http://proxy.fineid.fi/ca/$i.crt -O $i.crt
 +
    echo Converting it to pem, and making CApath directory link
 +
    openssl x509 -inform DER -in $i.crt -out certs/$i.pem
 +
    ln -s $i.pem certs/`openssl x509 -noout -hash -in certs/$i.pem`.0
 +
  done
  
 
== Katso myös ==
 
== Katso myös ==

Versio 2. maaliskuuta 2021 kello 09.07

Online Certificate Status Protocol (OCSP) on varmenteen tilan kyselyyn tarkoitettu yhteyskäytäntö.

OCSP:n käyttö openssl:llä

Openssl:llä voi hakea OCSP hakuja ja tarkistaa varmenteen oikeellisuuta.

Urli mistä OCSP haut tehdään löyty varmenteesta itsestään Authority Information Access nimisestä kentästä. Tuon saa haettua openssl:llä esim seuraavasti:

 OCSP=`openssl x509 -in cert.pem -text -noout | fgrep OCSP | sed 's/.*URI://g'`

Kun tuo urli on saatu niin voit tehdä ocsp haun käyttäen seuraavaa komentoa:

 openssl ocsp -CApath certs -issuer certs/vrkcqc3.pem -cert cert.pem -url $OCSP

missä certs hakemistossa on vrkcqc3.pem ja vrkroot2c.pem tiedostot ja niiden symlinkit. Tuon hakemiston saa tehtyä seuraavilla komennoilla.

 mkdir certs
 for i in vrkroot2c vrkcqc3
 do
   echo Fetching http://proxy.fineid.fi/ca/$i.crt
   wget --quiet http://proxy.fineid.fi/ca/$i.crt -O $i.crt
   echo Converting it to pem, and making CApath directory link
   openssl x509 -inform DER -in $i.crt -out certs/$i.pem
   ln -s $i.pem certs/`openssl x509 -noout -hash -in certs/$i.pem`.0
 done

Katso myös

https://tools.ietf.org/html/rfc6960