問題タブ [ocsp]

OCSP レスポンダーの前でキャッシング プロキシとして nginx を使用したいと考えています。「POST メソッドを使用する OCSP 要求は次のように構成されます。Content-Type ヘッダーの値は "application/ocsp-request" ですが、メッセージの本文は OCSPRequest の DER エンコードのバイナリ値です。」(RFC2560より)

したがって、nginx を次のように構成しました。

nginx を介して OCSP レスポンダーにアクセスでき、応答は期待どおりに受信されます - 問題ありません。問題は、nginx が応答をキャッシュしないことです。ノンスはリクエストの一部として送信されていません。Wireshark を使用して、すべてのリクエストが (HTTP レイヤーで) 同一であることを確認しました。応答をキャッシュするように nginx を構成するにはどうすればよいですか?

注、テストには次のコマンドを使用します。

OCSP と CRL の両方を使用して、iOS 7.0 で X.509 証明書の失効ステータスを確認しようとしましたが、評価は kSecTrustResultUnspecified (つまり、証明書が信頼されていることを意味します) を返します。チェーン内のすべての証明書を渡します。関連すると思われるコードを以下に記載しました。助けてください!

ありがとう！

PS: ocspOnly と crlOnly は、これらの失効チェック方法のいずれかを排他的に使用するかどうかを示すブール値です。certs は、アンカー証明書を除くチェーン内のすべての証明書を含む NSArray です。アンカー証明書は以前に適切に設定されています。

PS-2: この質問は、こちらの iOS 開発者フォーラムでも尋ねられました。

サブジェクトまたは必要なハッシュがわかっている場合、またはおそらくそれによって署名された証明書がある場合、OpenSSL のデフォルト ストアから証明書を検索する方法はありますか?

証明書を検証できます（したがって、発行者が標準セットに含まれていることを判断できます）

そして、必要なものの件名またはハッシュを取得できます

しかし、発行者証明書自体を取得する方法がわかりません。

これは、証明書が失効しているかどうかを確認するために OCSP ルックアップを実行できるようにするために必要です。

ありがとう！

HttpsURLConnection で HTTPS 接続を行うときに、SSL ハンドシェイクに独自の証明書検証ステップを入れる必要があります。ホスト証明書のいくつかのプロパティを確認するために、独自の証明書確認コードを作成しました。これは、 Online Certificate Status Protocolを使用してCertificate Revocation Statusと言います。このステップを Java に含める適切な方法は何ですか。次のようにデフォルトの HostNameVerifier の一部として追加できますが、これを行う適切な方法はありますか?

PDF リーダーが埋め込まれた OCSP 応答を表示しないのはなぜですか?

私もcrlClientを使用していません：

PDF失効タブの詳細は次のとおりです。

選択した証明書は、ローカル キャッシュに含まれる証明書失効リスト (CRL) に表示されないため、有効であると見なされます。

CRL は、2014/02/19 07:53:35 +02'00' に「B-Trust Operational CA QES <[hidden email]>」によって署名され、2014/03/21 07:53:35 + まで有効です。 02'00'.

Bruno Lowagie の無料のホワイト ペーパー ドキュメントから、図 3.8 OCSP 応答が埋め込まれたデジタル署名を実現したいと考えています。

私は何を間違っていますか？

認定パスとサンプル pdfは次のとおりです。

よろしく、 バレンティーノ

私は現在、自分の Web サイトで SSL 証明書を使用していますが、GlobalSign のオンライン SSLCheck を使用して、最適化を使用できることに気付きました。ホスティングには Azure WebSites 環境を使用していますが、指定されたオプションを変更する方法がわかりません。これらの設定をセットアップする方法をインターネット上で見つけることができません。

リンクはこちら: https://sslcheck.globalsign.com/en/sslcheck

最適化が必要なオプションのリスト:

• サーバーでセッションの再開が有効になっていません
• サーバーは HTTP Strict-Transport-Security を有効にしていません
• サーバーに OCSP ステープルが構成されていません
• サーバーは、前方秘匿性を有効にする暗号を優先しません。
• サーバーは、最新のブラウザーで RC4 暗号を使用します

この問題で私をサポートしてくれてありがとう。

PADES LTV プロファイルで文書に署名します。Signer ライブラリは、Pdfbox ライブラリに基づいて記述されています。

問題が 1 つあります。

PADES LTV プロファイルでは、最終リビジョンをオンラインでチェックする必要があります (つまり、このリビジョンの OCSP 応答、CRLS、および証明書をドキュメント セキュア ストア (DSS) に保存してはなりません)。

テストのために、ドキュメントに 12 のリビジョンを追加します。

新しいリビジョンを追加するたびに、この現在のリビジョンの証明書と ocsp 応答を DSS に追加しません。以前のリビジョンの証明書と ocsp 応答を DSS に追加します。これを行うのは、最後のリビジョンをオンラインでチェックインする必要があるためです。したがって、最終リビジョンの OCSP 応答を DSS に追加してはなりません。私はそうしていますが、Adobe の読者は、最終リビジョン でドキュメントに OCSP 応答が埋め込まれていると考えることがあります。

次のような問題が考えられます。

同じ証明書で生成した場合でも、各 ocsp 応答は一意である必要があります。つまり、ocsp オブジェクトを 2 回要求する場合、それらは一意でなければなりません。

このために、次のことを行いますが、機能しません。

これはテスト中の pdf リンクですSAMPLE PDF

4 つのリビジョンを作成すると、すべてが正常になる可能性があります...わかりませんが、時々発生します...テストしていたときに、多くのリビジョンを作成すると問題が発生します... 最後のリビジョンは、 OCSPの応答を考えています以前のリビジョンはそれ自身のものです!

Windows 2012 ADCS を使用しており、2 つのノードを持つ OCSP レスポンダーのクラスターがあります。

OCSP クラスターは、単一の失効構成を共有します。

失効構成が配列のメンバー間で同期されるというドキュメントを読みましたが、Web プロキシ キャッシュへのエントリもメンバー間で同期されている場合、ドキュメントや Google で見つけることができません。

そうですか？