Openssl

使用 GET 方法檢查 Linux 上的 OCSP

  • October 1, 2021

我想從 Linux 驗證 Microsoft OCSP 伺服器的操作。我嘗試使用 OpenSSL,但它總是返回:

Error querying OCSP responder 140643157128320:error:27076072:OCSP routines:parse_http_line1:server response error:../crypto/ocsp/ocsp_ht.c:260:Code=405,Reason=Method Not Allowed

我在伺服器端檢查並註意到 OpenSSL 使用 POST 方法,而不是 certutil 使用的 GET 方法(效果很好):

# certutil Request
2021-09-28 10:26:51 10.11.12.13 GET /ocsp/<OCSP request> - 80 - 10.11.12.14 Microsoft-CryptoAPI/10.0 - 200 0 0 4583
# OpenSSL Request
2021-09-28 10:26:51 10.11.12.13 POST / - 80 - 10.11.12.15 - - 405 0 1 5991

似乎不能強迫 OpenSSL 使用 GET 而不是 post,但也許還有其他一些實用程序?

或者相反,是否有一種方法可以強制 MS OCSP 響應者也與 POST 一起工作?

您需要將-no_nonce選項添加到 OpenSSL。

Microsoft OCSP 伺服器不支持請求中的 nonce。

引用自:https://serverfault.com/questions/1078886

相關問答

Ssl-Certificate

Windows:當我知道發送了 OK 響應時,如何診斷證書吊銷檢查失敗?

  • July 3, 2021
檢視問答
Ssl

如何檢查letsencrypt證書是否已被吊銷

  • May 25, 2020
檢視問答
Openssl

OCSP 響應中缺少“下一次更新”

  • September 24, 2019
檢視問答
Openssl

Strongswan PKI - ED25519 證書 - OCSP 響應者有問題

  • April 24, 2018
檢視問答
Nginx

Thawte 證書的 OCSP 裝訂不起作用

  • June 22, 2017
檢視問答
Python

apt模組的Ansible OpenSSL錯誤

  • May 11, 2022
檢視問答