ocsptool - Online in de cloud

PROGRAMMA:

NAAM

ocsptool - GnuTLS OCSP-tool

KORTE INHOUD

ocsptool [-vlaggen] [-vlag [waarde,--optie-naam[[=| ]waarde]]

Alle argumenten moeten opties zijn.

PRODUCTBESCHRIJVING

Ocsptool is een programma dat informatie over OCSP-verzoeken/antwoorden kan parseren en afdrukken,
verzoeken genereren en antwoorden verifiëren.

OPTIES

-d aantal, --debuggen=aantal
Foutopsporing inschakelen. Deze optie neemt een geheel getal als argument. De waarde
of aantal is beperkt tot:
in het bereik 0 tot 9999

Specificeert het foutopsporingsniveau.

-V, --uitgebreid
Meer uitgebreide output. Deze optie kan een onbeperkt aantal keren voorkomen.

--in bestand=filet
Invoer bestand.

--uitbestand=snaar
Uitvoer bestand.

--vragen [=server naam|url]
Vraag een OCSP/HTTP-server naar de geldigheid van het certificaat. Deze optie moet verschijnen in
combinatie met de volgende opties: load-cert, load-issuer.

Maakt verbinding met de opgegeven HTTP OCSP-server en vraagt ​​naar de geldigheid van de
geladen certificaat.

-e, --verifieer-antwoord
Controleer de reactie.

-i, --informatie aanvragen
Informatie over een OCSP-verzoek afdrukken.

-j, --reactie-info
Informatie over een OCSP-antwoord afdrukken.

-q, --genereer-verzoek
Genereer een OCSP-verzoek.

--nooit, - Fl - geen enkele keer
Gebruik (of niet) een nonce voor OCSP-verzoek. De geen enkele keer formulier schakelt de optie uit.

--load-uitgever=filet
Uitgeverscertificaat uit bestand lezen.

--load-cert=filet
Certificaat lezen om vanuit bestand te controleren.

--laad-vertrouwen=filet
Lees OCSP-vertrouwensankers uit het bestand. Deze optie mag niet voorkomen in combinatie met
een van de volgende opties: load-signer.

--load-ondertekenaar=filet
Lees de OCSP-antwoordondertekenaar uit het bestand. Deze optie mag niet in combinatie voorkomen
met een van de volgende opties: load-trust.

--onder, - Fl -niets
Gebruik het DER-formaat voor invoercertificaten en privésleutels. De geen-inder vorm wil
de optie uitschakelen.

-Q filet, --laadverzoek=filet
Lees het DER-gecodeerde OCSP-verzoek uit het bestand.

-S filet, --load-reactie=filet
Lees het DER-gecodeerde OCSP-antwoord uit het bestand.

-h, --help
Gebruiksinformatie weergeven en afsluiten.

-!, --meer hulp
Geef de uitgebreide gebruiksinformatie door via een pager.

-v [{v|c|n --versie [{v|c|n}]}]
Uitvoerversie van programma en afsluiten. De standaardmodus is `v', een eenvoudige versie.
De `c'-modus drukt copyrightinformatie af en `n' drukt het volledige copyright af
merken.

Voorbeelden

Print informatie over ons an OCSP te vragen

Om een ​​OCSP-verzoek te parseren en informatie over de inhoud af te drukken, gebruikt u het -i or --informatie aanvragen
parameter kan als volgt worden gebruikt. De -Q parameter geeft de naam van het bestand op
die het OCSP-verzoek bevat, en het moet het OCSP-verzoek in binair DER-formaat bevatten.

$ ocsptool -i -Q ocsp-request.der

Het invoerbestand kan ook als volgt naar standaardinvoer worden verzonden:

$cat ocsp-request.der | ocsptool --request-info

Print informatie over ons an OCSP antwoord

Net als bij het parseren van OCSP-verzoeken, kunnen OCSP-antwoorden worden geparseerd met behulp van de -j or
--reactie-info als volgt.

$ ocsptool -j -Q ocsp-response.der
$ cat ocsp-response.der | ocsptool --response-info

Genereer an OCSP te vragen

De -q or --genereer-verzoek parameters worden gebruikt om een ​​OCSP-verzoek te genereren. Standaard
het OCSP-verzoek wordt naar standaarduitvoer geschreven in binair DER-formaat, maar kan worden opgeslagen in
een bestand met behulp van --uitbestand. Om een ​​OCSP te genereren, moet u de uitgever van het certificaat verzoeken
cheque moet worden opgegeven bij --load-uitgever en het certificaat om mee te controleren
--load-cert. Standaard wordt voor deze bestanden het PEM-formaat gebruikt --onder kan worden gebruikt
om aan te geven dat de invoerbestanden de DER-indeling hebben.

$ ocsptool -q --load-issuer issuer.pem --load-cert client.pem --outfile ocsp-request.der

Bij het genereren van OCSP-verzoeken voegt de tool een OCSP-extensie toe die een nonce bevat.
Dit gedrag kan worden uitgeschakeld door op te geven --geen-eens.

Controleren handtekening in OCSP antwoord

Om de handtekening in een OCSP-antwoord te verifiëren, gebruikt u het -e or --verifieer-antwoord parameter wordt gebruikt.
De tool leest een OCSP-antwoord in DER-formaat vanuit standaardinvoer of vanuit het bestand
gespecificeerd door --load-reactie. Het OCSP-antwoord wordt geverifieerd aan de hand van een reeks vertrouwensrelaties
ankers, die worden gespecificeerd met behulp van --laad-vertrouwen. De vertrouwensankers zijn aaneengeschakeld
certificaten in PEM-formaat. Het certificaat waarmee het OCSP-antwoord is ondertekend, moet aanwezig zijn
de set vertrouwensankers, of de uitgever van het ondertekencertificaat, moet in de set voorkomen
van vertrouwensankers en de OCSP Extended Key Usage-bit moet in de ondertekenaar worden bevestigd
certificaat.

$ ocsptool -e --load-trust issuer.pem --load-response ocsp-response.der

De tool drukt de verificatiestatus af.

Controleren handtekening in OCSP antwoord tegen gegeven certificaat

Het is mogelijk om de normale vertrouwenslogica te overschrijven als u weet dat een bepaald certificaat vereist is
wordt verondersteld het OCSP-antwoord te hebben ondertekend en u wilt het gebruiken om het
handtekening. Dit wordt bereikt met behulp van --load-ondertekenaar in plaats van --laad-vertrouwen. Dit wordt geladen
één certificaat en het zal worden gebruikt om de handtekening in het OCSP-antwoord te verifiëren. Het zal
controleer het Extended Key Usage-bit niet.

$ ocsptool -e --load-signer ocsp-signer.pem --load-response ocsp-response.der

Deze aanpak is normaal gesproken alleen relevant in twee situaties. De eerste is wanneer de OCSP
antwoord bevat geen kopie van het ondertekenaarscertificaat, dus het --laad-vertrouwen code zou
mislukking. De tweede is als u de indirecte modus wilt vermijden waarin de OCSP-antwoordondertekenaar
certificaat is ondertekend door een vertrouwensanker.

Echte wereld voorbeeld

Hier is een voorbeeld van hoe u een OCSP-verzoek voor een certificaat kunt genereren en hoe u dit kunt verifiëren
antwoord. Ter illustratie gebruiken we de blog.josefsson.org gastheer, die (op het moment van schrijven)
maakt gebruik van een certificaat van CACert. Eerst zullen we gebruiken gnutls-cli om een ​​kopie van de server te krijgen
certificaat keten. De server is niet verplicht om deze informatie te verzenden, maar dit
een bepaalde is hiervoor geconfigureerd.

$ echo | gnutls-cli -p 443 blog.josefsson.org --print-cert > chain.pem

Gebruik een teksteditor ketting.pem om voor elk afzonderlijk certificaat drie bestanden te maken,
Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen. cert.pem voor het eerste certificaat voor het domein zelf, ten tweede uitgever.pem For
het tussencertificaat en wortel.pem voor het definitieve rootcertificaat.

Het domeincertificaat bevat normaal gesproken een verwijzing naar de locatie van de OCSP-responder,
in de extensie Autoriteitsinformatie Toegangsinformatie. Bijvoorbeeld van certtool -i
< cert.pem er is deze informatie:

Autoriteitsinformatie Toegangsinformatie (niet kritisch):
Toegangsmethode: 1.3.6.1.5.5.7.48.1 (id-ad-ocsp)
Toegangslocatie-URI: http://ocsp.CAcert.org/

Dit betekent dat de CA OCSP-query's via HTTP ondersteunt. We zijn nu klaar om een ​​OCSP te maken
aanvraag voor het certificaat.

$ ocsptool --ask ocsp.CAcert.org --load-issuer issuer.pem --load-cert cert.pem --outfile ocsp-response.der

Het verzoek wordt via HTTP naar het opgegeven OCSP-serveradres verzonden. Als het adres is
ommited ocsptool gebruikt het adres dat in het certificaat is opgeslagen.

EXIT STATUS

Een van de volgende exit-waarden wordt geretourneerd:

0 (EXIT_SUCCESS)
Succesvolle uitvoering van het programma.

1 (EXIT_FAILURE)
De bewerking is mislukt of de opdrachtsyntaxis was niet geldig.

70 (EX_SOFTWARE)
libopts had een interne operationele fout. Meld het dan aan autogen-
[e-mail beveiligd]. Dank u.

Gebruik ocsptool online met behulp van onworks.net-services