問題タブ [ocsp]

OCSP応答の定義でのレスポンダーIDの使用については明確ではありません。

JavaのPKIXAPIを介してOCSPチェックを行っています。

（OCSP応答処理中に）取得したサードパーティライブラリを使用すると、次のようになります。

java.security.cert.CertPathValidatorException：失効ステータスを判別できませんでした：応答のResponderIDがレスポンダー証明書と一致しませんでした。

デフォルトのプロバイダー（SUNなど）に切り替えると、そのような例外は発生せず、失効チェックは正常に機能します。

これをさらに調べると、この例外は、応答者の識別子が署名証明書の公開鍵の鍵ハッシュを使用するか、署名証明書の主題を使用するかに関連しているようです。

ただし、違いは何ですか。また、SUNの実装でOCSP応答に問題がない理由はわかりません。

ここで何が起こっているのかを理解する前に、結論に飛びついて他のライブラリを削除したくありません。

誰かが私がここで問題になる可能性があるものを理解するのを手伝ってくれませんか？

http://www.openssl.org/docs/apps/ocsp.htmlに記載されている openssl ocsp プログラムでは、クライアントが証明書と CA 証明書を ocsp resopnder に送信する必要があります。ただし、OCSP の RFC 2560 では、それは必要ありません。OCSP レスポンダーは、CA 証明書を使用して事前構成されていて、クライアントから送信された証明書から特定の CA を見つけることができるべきではありませんか? 回答ありがとうございます

からクライアント ID カードの証明書を取得しRequest.ClientCertificate["CERTIFICATE"]ましGOODた。OCSP URLもあります。REVOKEDUNKNOWN

ライブラリ BouncyCastle について調べましたが、私の例での使用方法がわかりませんでした。

多分PHPの例はあなたにアイデアを与えることができます:

良い一日！

私のasp.net Webアプリケーションでは、ファイルの着信デジタル署名をチェックする必要があります. 私はそれを呼び出すことによってそれを行います:

SignedCms.CheckSignature(false) または SignerInfo.CheckSignature(false) (C#)。

そして、そのような呼び出し中の署名者の証明書が正しく失効していることを確認し、システム設定が正しいことを確認し、このプロセスを自分でクリアしたいと考えています。

入ってくる署名者の証明書は、大量の CA のものである可能性があります。したがって、署名者の証明書には、CA の OCSP サービスまたは CA の CRL サービスへの参照が含まれる場合と含まれない場合があります。

システムがそのような方法で失効をチェックするようにしたい:

IF 証明書が CA の OCSP Web サービスへの参照を持っている場合、システムは CA に要求を行います。ELSE IF 証明書が CA のオンライン CRL サービスへの参照を持っている場合、システムは CRL をダウンロードして使用します。ELSE システムはローカル CRL を使用します。

私の質問に答えてください：

1. 必要な動作を説明するシステム設定をどのように (どこで) 見つけることができますか? (この動作は変更可能ですか、それとも修正されますか?)
2. 証明書に CA の CRL Web サービスへの参照が含まれている場合、定期的にスクリプトを使用して CA の CRL をダウンロードしてインストールする必要がありますか?それとも、チェックのために CRL が必要な場合に、システムのダウンロードに依存してそれらを自動的に使用できますか?

ありがとうございました。

私のクライアントの1つは、システム管理者とgodaddyサポートの両方を悩ませている問題を抱えています。彼らはすべてが正しく、このエラーは発生しないはずだと言っています。それらのSSL証明書は有効であり、正しくインストールされているようです。

http://www.sslshopper.com/ssl-checker.html#hostname=moocho.com

IEとChromeでも動作します。ただし、Firefoxのユーザーにはこのエラーが発生します（Firefox 7のユーザーは、ページが読み込まれるたびにエラーが発生するようです）。

関連する履歴：先週（約7〜10日前）、取り消された別の証明書を使用していました。ただし、9/5または9/6に新しいSSL証明書を受け取りました。これは、現在インストールされているものです。

これは、Firefoxが証明書の信頼性をチェックするために使用するOCSPサービスと関係があると思います。そのサービスは、古い証明書が取り消されたときのデータをキャッシュしている可能性がありますが、それでもmoocho.comが取り消された証明書を持っていることを報告していますか？もしそうなら、この問題を解決する方法はありますか？

そうでない場合、このエラーの原因は何ですか？

ありがとう！

OpenSSL を使用してサーバーに安全に接続する組み込みの C クライアント プログラムがあります。サーバーはハンドシェイク中に証明書を提供し、クライアントはこの証明書の失効ステータスを確認する必要があります。現在、OCSPを使用してこれを行っています。

これはすべて機能しますが、 OCSP ステープルを使用してクライアントの失効チェックを再実装する必要があります (サーバーがこれを提供し始めると仮定します)。

現在、サーバーのドメインとX509 *cert = SSL_get_peer_certificate(ssl)照合して（OCSP URIの場合）を取得するために使用してサーバー証明書を取得しています。subjectAltNameauthorityInfoAccess

SSL * ssl;を持っていて、すべてを正常にセットアップして 経由で接続したと仮定するとSSL_connect(ssl);、この時点で OCSP ステープル情報を取得し、受け取ったばかりの証明書を確認するにはどうすればよいですか? OpenSSL ライブラリを使用して実際にこれを実装する方法のサンプル コードが見つかりません。

ラボの同じマシンに AD、AD CS、および OCSP をインストールして構成しました。次に、C# を使用して OCSP クライアントを作成し、ローカル マシンにインストールされている特定の証明書の失効確認要求を送信して応答を解析できるようにします。C# コードは、Bouncy Castle アセンブリ (http://www.bouncycastle.org/csharp/) を使用して構築されました。

問題は、証明書を発行して AD CS で失効させ、CRL と Delta CRL を公開した場合、AD CS で [失効データの更新] -> [OCSP] -> をクリックするまで、OCSP クライアントはこの証明書が有効であると表示することです。アレイ構成。

LDAP://XXXX を介して OCSP の失効構成のプロバイダーをローカル CRL に構成し、

また、5 分ごとに CRL を更新するように失効プロバイダーを指定しました。

OCSP を「リアルタイム」に設定する方法はありますか。つまり、証明書を取り消した後、OCSP クライアントは証明書が取り消されたことを認識します。または、[失効データの更新] を手動でクリックする代わりに、OCSP で CRL を自動的に取得できます。

OCSP サーバーに証明書の失効ステータスを確認するように要求すると、チェーン全体の失効ステータスが自動的に確認されますか?

つまり、証明書が「良好」であると表示されている場合、それはチェーン全体が良好であることを意味しますか?

仕様を読みました: http://www.ietf.org/rfc/rfc2560.txt

しかし、それはまだ私には不明なようです。

ウィキペディアでは、チェーンされた OCSP リクエストについて言及しています。

http://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol

BouncyCastle で OCSP に関する情報を見つけるのに苦労しています。オンラインで見つけた例はせいぜいあいまいなので、ここで質問しようと思いました。

ここに私の問題があります: BouncyCastle for .NET で OCSP を実行しようとしていますが、OCSP 応答に問題があります。特に、応答をシリアル化して送信した後、応答を回復する方法がわかりません。受信者に。

問題は、私が応答自体を間違った方法で作成していることにある可能性が非常に高いです。なぜなら、私が行う方法は、オンラインで見つかった断片と私の側の純粋な「直感」から一緒に石畳になっているからです。応答を作成する方法は次のとおりです。

問題は、シリアル化された byte[] フォームから Response を取得する方法がわからないことです...それを取得するためのファクトリ/パーサーまたはコンストラクターがないようです。byte[] をパラメーターとして受け入れる OcspResp コンストラクターがありますが、OcspResp と BasicOcspResp は別のものであるため、例外がスローされます。

誰でも私を助けることができますか？私は応答自体を間違って構築していますか、それとも逆シリアル化する方法がわからないだけですか?? ヒントはありますか？

よろしくお願いします Master_T

Objective-C (iOS) と OpenSSL OCSP ライブラリを使用して x509 証明書 (現在は .cer 形式) の失効ステータスを確認するにはどうすればよいですか?