ocspssl - מקוון בענן

הפעל ocspssl בספק אירוח חינמי של OnWorks על אובונטו אונליין, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS

זוהי הפקודה ocspssl שניתן להריץ בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS

הפעל באובונטו רוץ בפדורה הפעל ב-Windows Sim הפעל ב-MACOS Sim

תָכְנִית:

שֵׁם

ocsp - שירות פרוטוקול Certificate Status Online

תַקצִיר

OpenSSL ocsp [אאוט פילה] [מנפיק פילה] [-cert פילה] [-סידורי n] [-חוֹתֵם פילה] [-מפתח
פילה] [-סימן_אחר פילה] [-אין_תעודות] [-req_text] [-resp_text] [-טֶקסט] [-מחדש פילה]
[-השגה פילה] [-reqin פילה] [-ספין מחדש פילה] [-לא] [-לא_כלום] [-כתובת אתר כתובת האתר] [-מנחה
מארח:n] [-נָתִיב] [-CApath dir] [-CAfile פילה] [-אין_אל_שרשראות]] [-VAfile פילה]
[-תקופת_תוקף n] [גיל_סטטוס n] [-לחדש] [-אמת_אחר פילה] [-סמוך על_אחר]
[-אין_מתמחה] [-אין_חתימה_אימות] [-לא_אישור_אימות] [-אין_שרשרת] [-אין_אישור_בדיקות]
[-לא_מפורש] [-נמל NUM] [-אינדקס פילה] [-CA פילה] [חותם פילה] [-מפתח פילה] [-רוטר
פילה] [-resp_no_certs] [-נמין n] [-ימי n] [-resp_key_id] [-בקשה n] [-md5|-sha1|...]

תיאור

פרוטוקול מצב האישור המקוון (OCSP) מאפשר ליישומים לקבוע את
מצב (ביטול) של תעודה מזוהה (RFC 2560).

השמיים ocsp הפקודה מבצעת משימות OCSP נפוצות רבות. זה יכול לשמש כדי להדפיס בקשות ו
תגובות, ליצור בקשות ולשלוח שאילתות למשיב OCSP ולהתנהג כמו מיני
שרת OCSP עצמו.

OCSP לָקוּחַ אפשרויות

אאוט שם הקובץ
ציין את שם קובץ הפלט, ברירת המחדל היא פלט סטנדרטי.

מנפיק שם הקובץ
זה מציין את אישור המנפיק הנוכחי. ניתן להשתמש באפשרות זו מספר פעמים.
התעודה המצוינת ב שם הקובץ חייב להיות בפורמט PEM. אפשרות זו חובה איך
לפני כל -cert אפשרויות.

-cert שם הקובץ
הוסף את התעודה שם הקובץ לבקשה. אישור המנפיק נלקח מה-
קודם מנפיק אפשרות, או שגיאה מתרחשת אם לא צוין אישור מנפיק.

-סידורי NUM
אותו דבר כמו ה- תעודה אפשרות מלבד האישור עם המספר הסידורי NUM מתווסף ל
בַּקָשָׁה. המספר הסידורי מתפרש כמספר שלם עשרוני אלא אם קודם לכן 0x.
ניתן לציין מספרים שלמים שליליים גם על ידי הקדמת הערך ב-a - סימן.

-חוֹתֵם שם הקובץ, -מפתח שם הקובץ
חתום על בקשת ה-OCSP באמצעות האישור המצוין ב- חוֹתֵם אפשרות וה
מפתח פרטי שצוין על ידי שלט אוֹפְּצִיָה. אם ה שלט האפשרות לא קיימת אז
המפתח הפרטי נקרא מאותו קובץ כמו האישור. אם אף אחת מהאפשרויות לא
צוין אז בקשת ה-OCSP לא נחתמה.

-סימן_אחר שם הקובץ
אישורים נוספים לכלול בבקשה החתומה.

-לא, -לא_כלום
הוסף הרחבת OCSP nonce לבקשה או השבת תוספת OCSP nonce. בדרך כלל אם
בקשת OCSP מוזנת באמצעות ה- ספין מחדש נוספה אפשרות ללא nonce: באמצעות ה- שליח
האפשרות תאלץ הוספת אי-נון. אם נוצרת בקשת OCSP (באמצעות
תעודה ו סידורי אפשרויות) נוספה אוטומטית nonce תוך ציון no_nonce מבטל
זֶה.

-req_text, -resp_text, -טֶקסט
הדפס את טופס הטקסט של בקשת ה-OCSP, התגובה או שניהם בהתאמה.

-מחדש פילה, -השגה פילה
לכתוב את בקשת האישור מקודדת DER או את התגובה ל פילה.

-reqin פילה, -ספין מחדש פילה
קרא בקשת OCSP או קובץ תגובה מ פילה. מתעלמים מהאפשרויות האלה אם OCSP מבקש
או יצירת תגובה משתמעת מאפשרויות אחרות (למשל עם סידורי, תעודה ו
המארח אפשרויות).

-כתובת אתר responder_url
ציין את כתובת האתר של המגיב. ניתן לציין גם כתובות URL של HTTP וגם HTTPS (SSL/TLS).

-מנחה שם מארח:פורט, -נָתִיב שם נתיב
אם המארח האפשרות קיימת ואז בקשת ה-OCSP נשלחת למארח המארח on
נמל נמל. נתיב מציין את שם נתיב ה-HTTP לשימוש או "/" כברירת מחדל.

-פסק זמן שניות
פסק זמן של חיבור למגיב OCSP בשניות

-CAfile פילה, -CApath שם נתיב
קובץ או נתיב המכילים אישורי CA מהימנים. אלה משמשים לאימות
חתימה על תגובת OCSP.

-אין_אל_שרשראות
לִרְאוֹת לאמת דף מדריך לפרטים.

-אמת_אחר פילה
קובץ המכיל אישורים נוספים לחיפוש בעת ניסיון לאתר את ה-OCSP
תעודת חתימת תגובה. חלק מהמגיבים משמיטים את תעודת החותם בפועל
מהתגובה: ניתן להשתמש באפשרות זו כדי לספק את התעודה הדרושה בכאלה
במקרים.

-סמוך על_אחר
האישורים שצוינו על ידי -אמת_אחר יש לסמוך במפורש על האפשרות
ולא יבוצעו בהם בדיקות נוספות. זה שימושי כאשר הושלם
שרשרת אישורי המשיב אינה זמינה או מתן אמון ב-CA שורש אינו מתאים.

-VAfile פילה
קובץ המכיל אישורי מגיבים מהימנים במפורש. שווה ערך ל
-אמת_אחר ו -סמוך על_אחר אפשרויות.

-לחדש
אל תנסה לאמת את חתימת התגובה של OCSP או את ערכי ה-nonce. אפשרות זו
בדרך כלל ישמש רק לניפוי באגים מכיוון שהוא משבית את כל האימות של
תעודת מגיבים.

-אין_מתמחה
התעלם מאישורים הכלולים בתגובת OCSP בעת חיפוש החותמים
תְעוּדָה. עם אפשרות זו יש לציין את אישור החותמים עם אחד מהם
מה היא -אמת_אחר or -VAfile אפשרויות.

-אין_חתימה_אימות
אל תבדוק את החתימה בתגובת OCSP. מכיוון שאופציה זו סובלת לא חוקית
חתימות על תגובות OCSP זה בדרך כלל ישמש רק למטרות בדיקה.

-לא_אישור_אימות
אל תאמת את אישור חותמי התגובה של OCSP כלל. מאז אפשרות זו מאפשרת
תגובת OCSP שתהיה חתומה על ידי כל אישור יש להשתמש בה רק לבדיקה
מטרות.

-אין_שרשרת
אל תשתמש בתעודות בתגובה כאישורי CA לא מהימנים נוספים.

-לא_מפורש
אל תבטח במפורש ב-CA השורש אם הוא מוגדר להיות מהימן עבור חתימת OCSP.

-אין_אישור_בדיקות
אל תבצע בדיקות נוספות באישור חותמי התגובה של OCSP. זה
אל תבצע כל בדיקה כדי לראות אם אישור החותמים מורשה לספק את
מידע סטטוס הכרחי: כתוצאה מכך יש להשתמש באפשרות זו רק לבדיקה
מטרות.

-תקופת_תוקף nsec, גיל_סטטוס גיל
אפשרויות אלו מציינות את טווח הזמנים, בשניות, שיסבלו ב-an
תגובת OCSP. כל תגובת סטטוס תעודה כוללת א לא לפני זמן ו-
אופציונלי לא אחרי זְמַן. הזמן הנוכחי אמור ליפול בין שני הערכים הללו, אבל ה
המרווח בין שתי הפעמים עשוי להיות שניות ספורות בלבד. בפועל ה-OCSP
ייתכן ששעוני המגיבים והלקוחות לא יהיו מסונכרנים במדויק ולכן ייתכן שבדיקה כזו
לְהִכָּשֵׁל. כדי להימנע מכך ה -תקופת_תוקף ניתן להשתמש באפשרות כדי לציין מקובל
טווח שגיאה בשניות, ערך ברירת המחדל הוא 5 דקות.

אם לא אחרי הזמן מושמט מתגובה אז זה אומר שהסטטוס החדש
המידע זמין באופן מיידי. במקרה זה הגיל של ה לא לפני שדה
בדק כדי לראות שזה לא ישן יותר מ גיל בן שניות. כברירת מחדל בדיקה נוספת זו
אינו מבוצע.

-md5|-sha1|-sha256|-ripemod160|...
אפשרות זו מגדירה את אלגוריתם התקציר לשימוש עבור זיהוי תעודות ב-OCSP
בַּקָשָׁה. כברירת מחדל נעשה שימוש ב-SHA-1.

OCSP שרת אפשרויות

-אינדקס קובץ אינדקס
קובץ אינדקס הוא קובץ אינדקס טקסט ב ca פורמט המכיל ביטול אישור
מידע.

אם מדד האפשרות מצוינת את ocsp כלי השירות נמצא במצב מגיב, אחרת זה
נמצא במצב לקוח. ניתן לציין את הבקשות שהמשיב מעבד בהן
שורת הפקודה (באמצעות מנפיק ו סידורי אפשרויות), מסופק בקובץ (באמצעות
ספין מחדש אפשרות) או באמצעות לקוחות OCSP חיצוניים (אם נמל or כתובת אתר מצוין).

אם מדד האפשרות קיימת ואז ה CA ו חותם גם אפשרויות חייבות להיות נוכחות.

-CA פילה
אישור CA המתאים למידע הביטול ב קובץ אינדקס.

חותם פילה
האישור שאיתו יש לחתום על תגובות OCSP.

-רוטר פילה
אישורים נוספים שיש לכלול בתגובת OCSP.

-resp_no_certs
אל תכלול אישורים כלשהם בתגובת OCSP.

-resp_key_id
זהה את אישור החותם באמצעות מזהה המפתח, ברירת המחדל היא להשתמש בשם הנושא.

-מפתח פילה
המפתח הפרטי לחתימה על תגובות OCSP עם: אם לא קיים הקובץ שצוין ב-
חותם נעשה שימוש באופציה.

-נמל פורטנום
יציאה להאזנה לבקשות OCSP. ניתן לציין את היציאה גם באמצעות ה- כתובת אתר
אוֹפְּצִיָה.

-בקשה מספר
שרת ה-OCSP ייצא לאחר קבלתו מספר בקשות, ברירת מחדל ללא הגבלה.

-נמין דקות, -ימי ימים
מספר הדקות או הימים שבהם מידע ביטול טרי זמין: משמש ב-
עדכון הבא שדה. אם אף אחת מהאפשרויות לא קיימת אז ה עדכון הבא השדה מושמט
כלומר, מידע חדש על ביטול זמין באופן מיידי.

OCSP תְגוּבָה אימות.

תגובת OCSP פועלת לפי הכללים המפורטים ב-RFC2560.

בתחילה מאתרים תעודת המגיב של OCSP והחתימה על בקשת ה-OCSP
נבדק באמצעות המפתח הציבורי של אישור המשיב.

לאחר מכן מבוצע אימות אישור רגיל בבניין אישורי ה-OCSP מגיב
במעלה שרשרת אישורים בתהליך. המיקומים של האישורים המהימנים בעבר
לבנות את השרשרת ניתן לציין על ידי CAfile ו CApath אפשרויות או שהם ייבדקו
עבור בספריית אישורי OpenSSL הרגילה.

אם האימות הראשוני נכשל, תהליך האימות של OCSP נעצר עם שגיאה.

אחרת אישור ה-CA המנפיק בבקשה מושווה למשיב OCSP
אישור: אם יש התאמה אז אימות ה-OCSP מצליח.

אחרת, ה-CA של אישור המגיב OCSP נבדק מול ה-CA המנפיק
אישור בבקשה. אם יש התאמה והשימוש המורחב במפתח OCSPSigning הוא
קיים באישור המגיב של OCSP ואז אימות ה-OCSP יצליח.

אחרת, אם -לא_מפורש is לֹא הגדר את ה-CA השורש של מגיב ה-OCSP ה-CA מסומן
בדוק אם הוא מהימן עבור חתימת OCSP. אם זה ה-OCSP האימות מצליח.

אם אף אחת מהבדיקות הללו לא מצליחה, אימות ה-OCSP נכשל.

מה זה אומר למעשה אם זה אם אישור המגיב של OCSP מורשה
ישירות על ידי ה-CA שעליו הוא מוציא מידע ביטול (וזה נכון
מוגדר) ואז האימות יצליח.

אם המשיב OCSP הוא "מגיב גלובלי" שיכול לתת פרטים על מספר CAs
ויש לו שרשרת אישורים נפרדת משלו, אז ניתן לסמוך על CA השורש שלו עבור OCSP
הַחתָמָה. לדוגמה:

openssl x509 -in ocspCA.pem -addtrust OCSPSsigning -out trustedCA.pem

לחלופין, ניתן לסמוך במפורש על אישור המגיב עצמו עם ה- -VAfile
אוֹפְּצִיָה.

אורים

כפי שצוין, רוב אפשרויות האימות הן למטרות בדיקה או איתור באגים. בדרך כלל בלבד
מה היא -CApath, -CAfile וכן (אם המשיב הוא 'VA גלובלי') -VAfile אפשרויות צריכות להיות
מְשׁוּמָשׁ.

שרת OCSP שימושי רק למטרות בדיקה והדגמה: הוא לא באמת
שמיש כמגיב OCSP מלא. הוא מכיל רק טיפול פשוט מאוד בבקשת HTTP ו
יכול לטפל רק בצורת POST של שאילתות OCSP. זה גם מטפל בבקשות במשמעות סדרתית
הוא לא יכול להגיב לבקשות חדשות עד שיעבד את הבקשות הנוכחיות. אינדקס הטקסט
פורמט קובץ ביטול אינו יעיל גם עבור כמויות גדולות של נתוני ביטול.

אפשר להפעיל את ocsp יישום במצב מגיב באמצעות סקריפט CGI באמצעות
ספין מחדש ו תשובה אפשרויות.

דוגמאות

צור בקשת OCSP וכתוב אותה לקובץ:

openssl ocsp -מפיק issuer.pem -cert c1.pem -cert c2.pem -reqout req.der

שלח שאילתה למשיב OCSP עם כתובת URL http://ocsp.myhost.com/ שמור את התגובה ל-a
קובץ והדפיס אותו בצורת טקסט

openssl ocsp -מוציא מנפיק.pem -cert c1.pem -cert c2.pem \
-כתובת אתר http://ocsp.myhost.com/ -resp_text -respout resp.der

קרא בתגובת OCSP והדפיס טופס טקסט:

openssl ocsp -respin resp.der -טקסט

שרת OCSP ביציאה 8888 באמצעות תקן ca תצורה, ומגיב נפרד
תְעוּדָה. כל הבקשות והתגובות מודפסות לקובץ.

openssl ocsp -index demoCA/index.txt -פורט 8888 -rsigner rcert.pem -CA demoCA/cacert.pem
-טקסט -out log.txt

כאמור, אך צא לאחר עיבוד בקשה אחת:

openssl ocsp -index demoCA/index.txt -פורט 8888 -rsigner rcert.pem -CA demoCA/cacert.pem
-בקשה 1

פרטי סטטוס שאילתה באמצעות בקשה שנוצרה באופן פנימי:

openssl ocsp -index demoCA/index.txt -rsigner rcert.pem -CA demoCA/cacert.pem
-מוציא demoCA/cacert.pem -סדרה 1

שאילתה פרטי סטטוס באמצעות בקשה לקריאה מקובץ, כתוב תגובה לקובץ שני.

openssl ocsp -index demoCA/index.txt -rsigner rcert.pem -CA demoCA/cacert.pem
-reqin req.der -respout resp.der

הִיסטוֹרִיָה

האפשרויות -no_alt_chains נוספו לראשונה ל-OpenSSL 1.0.2b.

השתמש ב-ocspssl באינטרנט באמצעות שירותי onworks.net