Ich versuche, den OCSP-Server von Verisign zu verwenden, um ein ausgestelltes Zertifikat zu verifizieren, z. B. amazon.com
Ich habe das Ausstellerzertifikat (das ziemlich schwer zu finden war). Sowie das Amazon 0-Zertifikat. Ich benutze openSSL, aber ich bin nicht in der Lage, das richtige OCSP-Responder-Zertifikat zu erhalten, um die Antwort zu überprüfen.
%Vor%Und das ist die Antwort:
%Vor%Irgendwelche Vorschläge, wo das richtige Zertifikat für den OCSP-Responder eigentlich sein könnte?
Sie benötigen das OCSP-Responder-Zertifikat nicht. Ihre OCSP-Anfrage hat funktioniert und Sie haben Ihre Antwort erhalten: Das Zertifikat ( amazon0.crt ) ist gut, nicht widerrufen. Die Zeile "no nonce in response" ist darauf zurückzuführen, dass der OCSP-Responder von VeriSign keine Nonces zurücksendet (aufgrund der großen Menge an zu verarbeitenden Zertifikaten verifiziert VeriSign die Antworten und kann daher keine Nonces enthalten - es hält sich daran RFC 5019). Sie können -no_nonce verwenden, um das Senden einer Nonce zu vermeiden.
Um die Fehlermeldung "Response Verify Failure" loszuwerden, habe ich die CA in meine CAfile eingefügt (in Ihrem Fall heißt sie veri-ssp-intermediate-ca.crt ). Folgendes habe ich hinzugefügt:
Sobald ich das getan habe, habe ich:
%Vor%