問題タブ [ocsp]

OCSP 応答をテストするツールを知っている人はいますか? できれば、Windows コマンドラインから使用できるもの、および/または Java/python プログラムに (簡単に) 含めることができるもの

Going back to my previous question on OCSP, does anybody know of "reliable" OCSP libraries for Python, Java and C?

I need "client" OCSP functionality, as I'll be checking the status of Certs against an OCSP responder, so responder functionality is not that important.

Thanks

私が取り組んでいる仕様では、鍵ペアが生成され、証明書が SCEP を介して指定されたサーバーに自動的に登録され、TLS サーバーとクライアント証明書の両方として使用され、相手方の OCSP 検証が必要です。.Net でこのようなことを行うためのツールはありますか?

CF/ARMv4i、.Net/x86、および .Net/x64 で変更されずに実行される統合された MSIL バイナリを生成しようとしているので、純粋に管理されたコードとコンパクト フレームワークのサポートは良いことです。 /x86 は短期的には役に立ちます。

現在、Windows 2008 OCSP レスポンダーと通信する Java アプリケーション (JRE 1.5+) を取得する作業を行っています。レスポンダーの署名証明書を読み取ろうとすると、奇妙なエラーが発生します。

OCSP 検証を実行しようとすると、次の例外が発生します。

これは、署名証明書の読み取りに問題があることを示唆しているため、以下のような方法を使用して個別にインポートしてみました。

同じエラーが発生しました。これは、OCSP 署名テンプレートから生成された証明書でのみ発生するようで、ユーザー証明書は問題なく読み取ることができます。

Java での X509 サポートで同様の問題に遭遇した人はいますか?

よろしく、トム

更新:私が問題を抱えている証明書は次のとおりです。

Java 5 でのクライアント証明書の OCSP 検証の例を探しています。また、java.security ファイルの構成はこの目的でどのように使用されますか?

Java での OCSP サポートを検討しています。
これには、プレーンな Java で提供される API がいくつかあることがわかります (つまり、Bouncy Castle などのサードパーティ ライブラリを使用せずに)。これで、OCSP はおよび
を介して実装できることがわかりました。 さまざまな投稿から、直接信頼モデルがサポートされているという印象を受けます。たとえば、次のようなものを見てきました。 Direct Trust ModelDelegated Trust Model

私がコードを理解しているように、OSCP サーバー証明書は検証のためにフレームワークに渡されています。
私の質問は次のとおりです: もDelegated Trust Modelサポートされていますか? いくつかの例が提供されている場合、それは非常に役に立ちます。

ありがとう

クライアントのjava.security.cert.X509Certificateだけを指定して、OCSPを使用してJavaで証明書失効ステータスを手動で確認するにはどうすればよいですか。私はそれを行うための明確な方法を見ることができません。

または、Tomcatに自動的に実行させることはできますか？また、ソリューションが正しいことをどのように知ることができますか？

私の要件はそのようなものです。マシンにクライアント CA 証明書があり、要求メッセージのヘッダーから顧客 CA 証明書のエンコードされたデータを取得しています。openSSL を使用して Java-OCSP を介してカスタム CA を検証する必要があります。

正確にJarが必要なものについて誰かが私を助けることができますか、それともまったく可能ですか?

ありがとう、スーマン

証明書の失効に関してSecurity.Frameworkを使用して証明書を検証するときのiOSのポリシーを理解しようとしています。iOSのドキュメントでこれに関する情報を見つけることができません。私が現在取り組んでいるiPadプロジェクトのコンテキストでは、一部の証明書の失効ステータスの確認を要求する理由があります。Security.Frameworkを使用した証明書検証中にCRL/OCSPチェックを強制する方法について誰かアイデアがありますか？または、これを実現するためにOpenSSLに「フォールバック」する必要がありますか？

Mac OS X 10.6でも、CRL / OCSPチェックはオプションで実行され、キーチェーンアクセスを介して手動でオンにする必要があるようです。

Martijn

誰かが次のことについて私を助けてくれませんか？
RFC2560は、OCSPレスポンダー証明書（応答の発信）をいつ受け入れることができるかを定義します。

私の質問は次のとおり
です。OCSPレスポンダーの証明書が検証パスのトラストアンカーによって署名されている場合、それも受け入れられたと見なされますか？
私はそうあるべきだという印象を持っていますが、これはRFCから明示的に上に述べられておらず、これに関する明示的な参照を見つけることができませんでした。

私がRFCを読んだところ、TAによって署名されていても、OCSP応答には有効ではないということです。
どんな助けでも大歓迎
です注：それが重要な場合に備えて、私はこれについてJavaで作業しています

更新：
RFCのセクション2.2：

すべての決定的な応答メッセージは、デジタル署名されている必要があります。応答に署名するために使用されるキー
は、次のいずれかに属している必要があります。

-問題の証明書を発行したCA-
公開鍵が要求者によって信頼されている信頼できるレスポンダー
-CAによって直接発行された特別にマークされた証明書を保持するCA指定レスポンダー（承認されたレスポンダー）。そのCAのOCSP応答を発行します

ポイント2は私には曖昧に思えます。
これは、次のことを意味します
。a）信頼できるPKであるため、トラストアンカーが受け入れられる
、または
b）最初の引用でポイント（1）の意味を持つ。ここでJavaで行われます：