問題タブ [ocsp]

私のwp8アプリでは、

1. 通信事業者が運営するオープンwifiに入る
2. ログインにアカウントとパスワードを使用する必要があるポータル ページによってブロックされた
3. 一部のデータをhttps URLに投稿した後
4. Wi-Fi ネットワークを使用してインターネットに自由にアクセスできます。

ここで、問題が発生しまし
た。https 接続が正常に確立される前に、オンライン証明書ステータス プロトコル (OCSP)
が実行 されます。OCSP は、サーバー証明書のステータスを確認するために veriSign などの CA にアクセスする必要があります。

しかし、現時点ではインターネットにアクセスできません。

したがって、私のアプリは、説明が「リモートサーバーがエラーを返しました: NotFound」である Webexception を返します。OCSP の失敗が原因だと思います。
上記に基づいて、これを解決するための解決策を見つけたい:

1. 私のポイントは、OCSP メカニズムを無効にすることです，これを行う方法を知っていますか?
2. また、問題を解決するための別の解決策があるかどうかも知りたいです。

あなたのアドバイスを願って、ありがとう!

現在、OCSP または CRL を使用して署名証明書 (pdf など) を検証するアプリケーションを開発しています。これらは、チェーン全体を含まないリーフ証明書である可能性が最も高いでしょう。いずれかの検証サービスへの URL を取得することは、十分に簡単であることがわかりました。

私の理解では、OCSP と CRL の両方で、証明書の発行者が証明書を検証する必要があります。それが入力に含まれていないので、今は行き詰まっています。AIA 拡張機能には CA 証明書への URL が含まれている場合がありますが、残念ながらこれは発行元の証明書の CA であり、証明書自体ではありません。

リーフのみを指定して発行者の証明書を取得する他の方法はありますか? または、OCSP/CRL がそれなしで検証できるいくつかのケースはありますか?

私は OpenSSL の専門家ではありませんが、SSL で保護されたサーバーに接続するクライアントの OCSP ステープルを処理するコードを作成しようとしています。OCSP についての私の理解では、提示された証明書が取り消されていないことを証明するために使用されます。つまり、発行者によって発行された CRL の管理に対処する必要はありません。

SSL_CTX_set_verify を使用して、証明書の検証を処理するためのコールバックを設定します (まあ、OpenSSL 独自の内部検証プロセスの例外を処理します。私は仮定しますが、この内部プロセスが証明書の失効ステータスをチェックしないという明確な証拠を見つけることができません)。私のコードはこの機会を利用して、発行者が信頼されていることを確認します (または、そうでない場合は、チェーンが信頼されるか拒否されるまで、発行者の発行者が信頼されているかどうかを確認します)。 . （これもすでにチェックされているかもしれませんが、それは私の質問にとってそれほど重要ではありません）。

コードを変更して、追加しました

その後、応答を取得してハンドラーで確認できます。ここまでは順調ですね！

しかし、奇妙なことに、SSL_CTX_set_verify ハンドラーを取得した後に OCSP コールバックを取得します。私の (確かに素朴な) 考えでは、これは 2 つの選択肢があることを意味します。

1）CRLを使用するか、独自のOCSPリクエストを実行して、検証コールバックで失効ステータスを確認します。これを行った場合、OCSP コールバックで何をしても意味がありません。証明書の失効ステータスを既に判断しているためです。 2) 検証コールバックで失効ステータスをチェックしないでください。OCSP ハンドラーが呼ばれた。

サーバーからの応答にステープルされた OCSP メッセージが含まれていない場合、検証ハンドラーの前にOCSP ハンドラーが呼び出されることに気付きました。したがって、1 つの可能性として、最初に「no_ocsp」のどこかにフラグを 0 に設定し、メッセージが添付されていない OCSP コールバックを取得した場合は、それを 1 に設定します。次に、検証ハンドラーでこれをチェックして、 OCSP ハンドラは後で呼び出されます。これは、誰かが近づくと自動的にロックが解除され、近づいてくる人が間違ったキーを差し込むと自動的にロックされる車のように思えます。

したがって、OCSP、OpenSSL、またはその両方の使用方法について、根本的な誤解をしているに違いありません。私は何を間違っていますか？

(OCSP ステープル メッセージを取得する方法を説明する同様の質問を見てきましたが、私の質問は、コールバックの順序を考慮して、実際に賢明な方法でそれを使用する方法に関連しています。明確にするために: OCSP_RESPONSE なしで取得できます任意の問題)

私は自分のOCSPレスポンダーを開発しています。

OCSPまず、レスポンダーにリクエストを送信しopenssl、正しい回答を受け取りたいだけです。

私は CA 証明書CA.crtとその息子を持っていRC.crtます。のステータス証明書を確認したいRC.crt。

私のレスポンダーは、独自の自己署名証明書 (OCSPSigning キーの使用...) caOcsp.pem で応答に署名します。(RFC2560 では、「応答の署名に使用される鍵は、次のいずれかに属している必要があります...公開鍵が要求者によって信頼されている信頼されたレスポンダー...

だから私はただやる：

openssl のドキュメント:

私は何を忘れましたか？なにが問題ですか？

RFC5280で説明されているように、 CRLとデルタCRLを組み合わせるアルゴリズムのC#またはJavaでの実装を探しています。

私は、ポルトガルの eIDスマート カード「Cartão de Cidadão」と、 CRLとdelta-CRLを持つ認証証明書を持つ他の同様のトークンを使用したWeb 認証に取り組んでいます。

私たちのシステムでは、非常に具体的なセキュリティ上の理由から、SSL再ネゴシエーションを使用していません( Web アプリケーションは市民の現在のサポートでも使用されており、ユーザー エージェントのSSL認証は、それぞれの異なる認証間ですべてのインスタンスを体系的に閉じることを強制します)。

OCSPを使用していますが、 CRLとdelta CRLを使用して、特定のケースで証明書の有効性をプログラムでチェックする必要もあります。

車輪の再発明を避けるために、誰かが私を正しい道に導くことができますか?

Java 1.7.0_51 以降、Java Webstart は、信頼できる機関によって署名されていないアプリケーションの実行を拒否します。これで、アプリケーション自体が信頼できる CA によって署名された証明書によって署名されました。ただし、証明書の失効ステータスを確認できないという警告が引き続き表示されます。

証明書が OCSP レスポンダー URI を指定していないように思えます。しかし、この OCSP レスポンダー URI はどこで指定する必要があるのでしょうか? アプリケーションの署名に使用される証明書で? 私たちの証明書を発行した CA 証明書では? 両者に？

さて、次のような多層 ca システムがあります。

-ROOT_CA

----intermediate_CA

--------中間_CA2

------------クライアント証明書...

次のように開始されるintermediate_CA2にOCSPレスポンダーをセットアップしました：

クライアント側では、次のように ocsp リクエストを作成します。

client.crt は単なるクライアント証明書であり、チェーン全体ではありませんが、両方の方法を試しましたが、どちらも機能しません。それはいつも戻ってくる

（明らかに、client.crtに対応する有効なシリアルを渡す）に変更-cert client.crtすると、すべてが次のように機能します。-serial 0xXXXXXXXXX

奇妙なことに、最初の例のリクエストを調べると、実際に正しいシリアルが送信されています。

私は一生これを理解することはできません。何か案は？

この件に関するすべてのホワイト ペーパーを読み、証明書に署名し、タイム スタンプを付けた PDF ドキュメントに署名しましたが、取り消しを行うと混乱が生じます。署名プロパティ/失効に crl または ocsp を実装していない場合、ocsp 失効チェックがオンラインで行われたことがわかります。crl を実装すると、次のようになります。

ocsp、または ocsp と crl を一緒に実装すると、次のようになります。

私の質問は次のとおりです。私の場合、ocsp には明らかに優先順位があります。それは私の CA に依存する必要があります。この場合は、Com クラス 1 を開始します。よろしいですか? そして、これは両方を実装するための良い方法です（見た目のように、両方を実装した生地でもocspしか見えないため）。どちらの場合も、チェック取り消しボタンがグレー表示されているのはなぜですか? 私は何が欠けていますか？

CmsSignedDataGenerator を使用して Bouncy Castle で署名している PDF ドキュメントに OCSP 応答を追加しようとしています。

OCSP 応答を正しく埋め込んでいると思いますが、Adobe Reader 11 (オフライン) でドキュメントを開き、[署名のプロパティ] > [署名者の証明書を表示] > [失効] > [問題が発生しました] を確認すると、次のエラーが表示されます。

OCSP 応答解析エラー:

BER デコード中にエラーが発生しました:

Adobe Reader でこのエラーに関する詳細情報が得られず、どこを検索すればよいかわかりません。アドビが OCSP 応答のデコードに問題を抱えている理由、またはより具体的な情報を取得する方法を知っている人はいますか?

これは、検証しようとしている PDF です。

どんな種類の助けでも大歓迎です
ありがとう