OCSP 響應中缺少“下一次更新”
總體
我正在嘗試通過在一盒 CentOS 7 上使用 OpenSSL 來設置私有 PKI。除了 OCSP 響應中缺少“下一個更新”行的問題外,一切正常。
系統
- 作業系統:CentOS 7.6
- OpenSSL 1.0.2k-fips
綜合症
當我在本地針對 OCSP 響應程序測試來自此 PKI 的 TLS 證書時,我得到以下結果:
響應驗證 OK certs/abc.com.pem:好 本次更新:格林威治標準時間 2019 年 9 月 24 日 18:04:31
我在網上搜尋,那裡的很多範例都在 OCSP 響應的行下方顯示了Next Update行。
This Update
例如openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp.digicert.com wikipedia.com:好 本次更新:格林威治標準時間 2014 年 4 月 9 日 08:45:00 下次更新:格林威治標準時間 2014 年 4 月 16 日 09:00:00
在與 HAProxy OCSP 裝訂一起使用之前,這不是一個大問題。HAProxy OCSP 裝訂似乎不接受沒有“下一次更新”行的 OCSP 響應。
問題
有人知道為什麼這裡的 OCSP 響應中缺少“下一次更新”行嗎?如何使該行包含在 OCSP 響應中?
我在 Ubuntu 18.04 LTS 上嘗試了附帶的 OpenSSL 包,但遇到了同樣的問題。
謝謝!
來自RFC 6960 - X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP的第 4.2.2.1 節:
如果未設置 nextUpdate,則響應者指示更新的撤銷資訊始終可用。
同時,RFC 5019 的第 2.2.4 節- 用於大容量環境的輕量級線上證書狀態協議 (OCSP) 配置文件說:
下一個更新
提供有關證書狀態的更新資訊的時間或之前。響應者必須始終包含此值以幫助響應記憶體。
因此,您的客戶似乎需要一個輕量級的 OCSP 響應程序。
快速瀏覽 OpenSSL OCSP 手冊頁顯示以下內容:
-nmin 分鐘,-days 天
新的撤銷資訊可用的分鐘數或天數:在 nextUpdate 欄位中使用。如果兩個選項都不存在,則省略 nextUpdate 欄位,這意味著新的撤銷資訊立即可用。
在啟動 OpenSSL OCSP 服務時嘗試添加
-nmin 5
或類似命令行。