ocsptool - En ligne dans le cloud

PROGRAMME:

Nom

outil ocsp - Outil GnuTLS OCSP

SYNOPSIS

outil ocsp [-drapeaux] [-drapeau [Plus-value]] [--option-nom[[=| ]Plus-value]]

Tous les arguments doivent être des options.

DESCRIPTION

Ocsptool est un programme qui peut analyser et imprimer des informations sur les demandes/réponses OCSP,
générer des demandes et vérifier les réponses.

OPTIONS

-d nombre, --déboguer=nombre
Activer le débogage. Cette option prend un nombre entier comme argument. La valeur
of nombre est contraint d'être :
dans la plage 0 à 9999

Spécifie le niveau de débogage.

-V, --verbeux
Sortie plus verbeuse. Cette option peut apparaître un nombre illimité de fois.

--dans le fichier=filet
Fichier d'entrée.

--fichier de sortie=un magnifique
Fichier de sortie.

--interroger [=serveur nom|url]
Demandez à un serveur OCSP/HTTP la validité d'un certificat. Cette option doit apparaître dans
combinaison avec les options suivantes : load-cert, load-issuer.

Se connecte au serveur HTTP OCSP spécifié et interroge la validité du
certificat chargé.

-e, --vérifier-réponse
Vérifiez la réponse.

-i, --Demande d'info
Imprimer des informations sur une requête OCSP.

-j, --réponse-info
Imprimez les informations sur une réponse OCSP.

-q, --générer-demande
Générez une requête OCSP.

--nonce, - Fl -non-occasionnellement
Utilisez (ou non) une requête occasionnelle pour une requête OCSP. Le non occasionnel formulaire désactivera l'option.

--load-émetteur=filet
Lire le certificat de l'émetteur à partir du fichier.

--load-cert=filet
Lisez le certificat pour vérifier à partir du fichier.

--load-confiance=filet
Lisez les ancres de confiance OCSP à partir du fichier. Cette option ne doit pas apparaître en combinaison avec
l'une des options suivantes : load-signer.

--load-signer=filet
Lisez le signataire de la réponse OCSP à partir du fichier. Cette option ne doit pas apparaître en combinaison
avec l’une des options suivantes : load-trust.

--inder, - Fl -no-inder
Utilisez le format DER pour les certificats d'entrée et les clés privées. Le non-inder forme sera
désactiver l'option.

-Q filet, --load-requête=filet
Lisez la requête OCSP codée DER à partir du fichier.

-S filet, --load-réponse=filet
Lisez la réponse OCSP codée DER à partir du fichier.

-h, --Aidez-moi
Afficher les informations d'utilisation et quitter.

-!, --plus d'aide
Transmettez les informations d'utilisation étendue via un téléavertisseur.

-v [{v|c|n --version [{v|c|n}]}]
Sortez la version du programme et quittez. Le mode par défaut est 'v', une version simple.
Le mode 'c' imprimera les informations de copyright et 'n' imprimera le copyright complet
remarquer.

EXEMPLES

Imprimé d'information à propos an OCSP demandez

Pour analyser une requête OCSP et imprimer des informations sur le contenu, le -i or --Demande d'info
Le paramètre peut être utilisé comme suit. Le -Q paramètre spécifie le nom du fichier
contenant la requête OCSP, et il doit contenir la requête OCSP au format binaire DER.

$ ocsptool -i -Q ocsp-request.der

Le fichier d'entrée peut également être envoyé vers une entrée standard comme ceci :

$ cat ocsp-request.der | ocsptool --request-info

Imprimé d'information à propos an OCSP RAPIDE

Semblable à l'analyse des requêtes OCSP, les réponses OCSP peuvent être analysées à l'aide de l'outil -j or
--réponse-info comme suit.

$ ocsptool -j -Q ocsp-response.der
$ chat ocsp-response.der | ocsptool --response-info

« Générer » an OCSP demandez

Le manuel de formation -q or --générer-demande Les paramètres sont utilisés pour générer une requête OCSP. Par défaut
la requête OCSP est écrite sur la sortie standard au format binaire DER, mais peut être stockée dans
un fichier utilisant --fichier de sortie. Pour générer un OCSP, demandez à l'émetteur du certificat de
le chèque doit être précisé avec --load-émetteur et le certificat à vérifier
--load-cert. Par défaut, le format PEM est utilisé pour ces fichiers, bien que --inder peut être utilisé
pour préciser que les fichiers d'entrée sont au format DER.

$ ocsptool -q --load-issuer issuer.pem --load-cert client.pem --outfile ocsp-request.der

Lors de la génération de requêtes OCSP, l'outil ajoutera une extension OCSP contenant un nom occasionnel.
Ce comportement peut être désactivé en spécifiant --non-occasion.

Vérifier Signature in OCSP RAPIDE

Pour vérifier la signature dans une réponse OCSP, le -e or --vérifier-réponse paramètre est utilisé.
L'outil lira une réponse OCSP au format DER à partir de l'entrée standard ou du fichier
spécifié par --load-réponse. La réponse OCSP est vérifiée par rapport à un ensemble de confiance
ancres, qui sont spécifiées à l'aide de --load-confiance. Les ancres de confiance sont concaténées
certificats au format PEM. Le certificat qui a signé la réponse OCSP doit être dans
l'ensemble d'ancres de confiance, ou l'émetteur du certificat de signataire doit être dans l'ensemble
des ancres de confiance et le bit OCSP Extended Key Usage doit être affirmé dans le signataire
certificat.

$ ocsptool -e --load-trust issuer.pem --load-response ocsp-response.der

L'outil imprimera l'état de la vérification.

Vérifier Signature in OCSP RAPIDE à opposer à donné certificat

Il est possible de remplacer la logique de confiance normale si vous savez qu'un certain certificat
est censé avoir signé la réponse OCSP et vous souhaitez l'utiliser pour vérifier le
signature. Ceci est réalisé en utilisant --load-signer au lieu de --load-confiance. Cela va charger
un certificat et il sera utilisé pour vérifier la signature dans la réponse OCSP. Ce sera
ne vérifie pas le bit d'utilisation étendue de la clé.

$ ocsptool -e --load-signer ocsp-signer.pem --load-response ocsp-response.der

Cette approche n’est normalement pertinente que dans deux situations. La première est lorsque l'OCSP
La réponse ne contient pas de copie du certificat de signataire, donc la --load-confiance le code serait
échouer. La seconde est si vous souhaitez éviter le mode indirect dans lequel le signataire de la réponse OCSP
le certificat est signé par une ancre de confiance.

Monde réel (ici)

Voici un exemple de comment générer une requête OCSP pour un certificat et vérifier le
réponse. À titre d'illustration, nous utiliserons le blog.josefsson.org hôte, qui (au moment de la rédaction)
utilise un certificat de CACert. Nous utiliserons d'abord gnutls-cli pour obtenir une copie du serveur
chaîne de certificats. Le serveur n'est pas obligé d'envoyer ces informations, mais cela
un en particulier est configuré pour le faire.

$ écho | gnutls-cli -p 443 blog.josefsson.org --print-cert > chain.pem

Utilisez un éditeur de texte sur chaîne.pem créer trois fichiers pour chaque certificat distinct,
appelé cert.pem pour le premier certificat pour le domaine lui-même, deuxièmement émetteur.pem pour
le certificat intermédiaire et racine.pem pour le certificat racine final.

Le certificat de domaine contient normalement un pointeur vers l'endroit où se trouve le répondeur OCSP,
dans l'extension Informations d'accès aux informations d'autorité. Par exemple, de outil de certification -i
< cert.pem il y a cette information:

Informations d'accès aux informations d'autorité (non critiques) :
Méthode d'accès : 1.3.6.1.5.5.7.48.1 (id-ad-ocsp)
URI de l'emplacement d'accès : http://ocsp.CAcert.org/

Cela signifie que l'autorité de certification prend en charge les requêtes OCSP sur HTTP. Nous sommes maintenant prêts à créer un OCSP
demande de certificat.

$ ocsptool --ask ocsp.CAcert.org --load-issuer issuer.pem --load-cert cert.pem --outfile ocsp-response.der

La demande est envoyée via HTTP à l'adresse du serveur OCSP spécifiée. Si l'adresse est
ocsptool omis utilisera l'adresse stockée dans le certificat.

EXIT STATUT

L'une des valeurs de sortie suivantes sera renvoyée :

0 (EXIT_SUCCESS)
Exécution réussie du programme.

1 (EXIT_FAILURE)
L'opération a échoué ou la syntaxe de la commande n'était pas valide.

70 (EX_LOGICIEL)
libopts avait une erreur opérationnelle interne. Veuillez le signaler à autogen-
[email protected]. Merci.

Utilisez ocsptool en ligne à l'aide des services onworks.net