这是 ocsptool 命令,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
工具 - GnuTLS OCSP 工具
概要
工具 [-标志[-旗 [折扣值]][--选项名称[[=| ]折扣值]]
所有参数都必须是选项。
商品描述
ocsptool 是一个程序,可以解析和打印有关 OCSP 请求/响应的信息,
生成请求并验证响应。
配置
-d 数, -调试=数
启用调试。 此选项将整数作为其参数。 价值
of 数 被限制为:
在 0 到 9999 的范围内
指定调试级别。
-V, --详细
更详细的输出。 此选项可以无限次出现。
--infile=文件
输入文件。
--输出文件=绳子
输出文件。
- 问 [=服务器 姓名|网址]
向 OCSP/HTTP 服务器询问证书有效性。 此选项必须出现在
结合以下选项:load-cert、load-issuer。
连接到指定的 HTTP OCSP 服务器并查询其有效性
加载的证书。
-e, --验证响应
验证响应。
-i, --请求信息
打印有关 OCSP 请求的信息。
-j, --响应信息
打印有关 OCSP 响应的信息。
-q, --生成请求
生成 OCSP 请求。
--随机数, - Fl -无随机数
对 OCSP 请求使用(或不使用)随机数。 这 偶然 表单将禁用该选项。
--加载发行者=文件
从文件中读取颁发者证书。
--加载证书=文件
读取证书以从文件中检查。
--负载信任=文件
从文件中读取 OCSP 信任锚。 此选项不得与
以下任一选项:加载签名者。
--加载签名者=文件
从文件中读取 OCSP 响应签名者。 此选项不得组合出现
使用以下任一选项:负载信任。
--因德尔, - Fl -无因
使用 DER 格式输入证书和私钥。 这 无罪 形式将
禁用该选项。
-Q 文件, --加载请求=文件
从文件中读取 DER 编码的 OCSP 请求。
-S 文件, --负载响应=文件
从文件中读取 DER 编码的 OCSP 响应。
-h, - 帮帮我
显示使用信息并退出。
-!, --更多帮助
通过寻呼机传递扩展使用信息。
-v [{v|c|n - 版 [{v|c|n}]}]
输出程序版本并退出。 默认模式是`v',一个简单的版本。
`c' 模式将打印版权信息,`n' 将打印完整的版权信息
恕不另行通知。
示例
打印 信息 关于 an OCSP 请求
要解析 OCSP 请求并打印有关内容的信息, -i or --请求信息
参数可以如下使用。 这 -Q 参数指定文件名
包含OCSP请求,并且它应该包含二进制DER格式的OCSP请求。
$ ocsptool -i -Q ocsp-request.der
输入文件也可以像这样发送到标准输入:
$ cat ocsp-request.der | ocsptool--请求信息
打印 信息 关于 an OCSP 响应
类似于解析 OCSP 请求,OCSP 响应可以使用 -j or
--响应信息 如下所示。
$ ocsptool -j -Q ocsp-response.der
$ 猫 ocsp-response.der | ocsptool --response-信息
产生 an OCSP 请求
- -q or --生成请求 参数用于生成 OCSP 请求。 默认情况下
OCSP 请求以二进制 DER 格式写入标准输出,但可以存储在
一个文件使用 --输出文件. 要生成 OCSP 请求,证书颁发者要
检查需要指定 --加载发行者 以及要核对的证书
--加载证书. 默认情况下,这些文件使用 PEM 格式,尽管 --因德尔 可以使用
指定输入文件为 DER 格式。
$ ocsptool -q --load-issuer Issuer.pem --load-cert client.pem --outfile ocsp-request.der
在生成 OCSP 请求时,该工具将添加一个包含随机数的 OCSP 扩展。
可以通过指定禁用此行为 --无随机数.
确认 签名 in OCSP 响应
要验证 OCSP 响应中的签名, -e or --验证响应 参数被使用。
该工具将从标准输入或文件中读取 DER 格式的 OCSP 响应
由 --负载响应. OCSP 响应根据一组信任进行验证
使用锚点指定 --负载信任. 信任锚连接在一起
PEM 格式的证书。 签署 OCSP 响应的证书需要在
信任锚集或签名者证书的颁发者需要在集合中
信任锚和 OCSP 扩展密钥使用位必须在签名者中声明
证书。
$ ocsptool -e --load-trust Issuer.pem --load-response ocsp-response.der
该工具将打印验证状态。
确认 签名 in OCSP 响应 驳 特定 证书
如果您知道某个证书,则可以覆盖正常的信任逻辑
应该已经签署了 OCSP 响应,并且您想用它来检查
签名。 这是使用 --加载签名者 而不是 --负载信任. 这将加载
一个证书,它将用于验证 OCSP 响应中的签名。 它会
不检查扩展密钥用法位。
$ ocsptool -e --load-signer ocsp-signer.pem --load-response ocsp-response.der
这种方法通常只适用于两种情况。 第一个是当 OCSP
响应不包含签名者证书的副本,因此 --负载信任 代码会
失败。 第二个是如果你想避免 OCSP 响应签名者的间接模式
证书由信任锚签名。
真实世界 例子
以下是如何生成证书的 OCSP 请求并验证证书的示例
回复。 为了说明,我们将使用 博客.josefsson.org 主机,其中(截至撰写时)
使用来自 CACert 的证书。 首先我们将使用 gnutls-cli 获取服务器的副本
证书链。 服务器不需要发送这个信息,但是这个
特定的一个被配置为这样做。
$回声| gnutls-cli -p 443 blog.josefsson.org --print-cert > chain.pem
使用文本编辑器 链表 为每个单独的证书创建三个文件,
被称为 证书文件 对于域本身的第一个证书,其次 发行人.pem HPMC胶囊
中级证书和 根目录 为最终的根证书。
域证书通常包含指向 OCSP 响应者所在位置的指针,
在规范信息访问信息扩展中。 例如,从 证书工具 -i
< 证书文件 有这样的信息:
权限信息访问信息(非关键):
访问方式:1.3.6.1.5.5.7.48.1(id-ad-ocsp)
访问位置 URI: http://ocsp.CAcert.org/
这意味着 CA 支持通过 HTTP 的 OCSP 查询。 我们现在准备创建一个 OCSP
请求证书。
$ ocsptool --ask ocsp.CAcert.org --load-issuer Issuer.pem --load-cert cert.pem --outfile ocsp-response.der
请求通过 HTTP 发送到指定的 OCSP 服务器地址。 如果地址是
省略 ocsptool 将使用存储在证书中的地址。
退出 状态
将返回以下退出值之一:
0 (退出_成功)
程序执行成功。
1(退出失败)
操作失败或命令语法无效。
70(前软件)
libopts 有一个内部操作错误。 请报告给autogen-
[电子邮件保护]。 谢谢。
使用 onworks.net 服务在线使用 ocsptool
