Openssl

OCSP 響應中缺少“下一次更新”

  • September 24, 2019

總體

我正在嘗試通過在一盒 CentOS 7 上使用 OpenSSL 來設置私有 PKI。除了 OCSP 響應中缺少“下一個更新”行的問題外,一切正常。

系統

  • 作業系統:CentOS 7.6
  • OpenSSL 1.0.2k-fips

綜合症

當我在本地針對 OCSP 響應程序測試來自此 PKI 的 TLS 證書時,我得到以下結果:

響應驗證 OK
certs/abc.com.pem:好
本次更新:格林威治標準時間 2019 年 9 月 24 日 18:04:31

我在網上搜尋,那裡的很多範例都在 OCSP 響應的行下方顯示了Next Update行。This Update例如

openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp.digicert.com
wikipedia.com:好
本次更新:格林威治標準時間 2014 年 4 月 9 日 08:45:00
下次更新:格林威治標準時間 2014 年 4 月 16 日 09:00:00

在與 HAProxy OCSP 裝訂一起使用之前,這不是一個大問題。HAProxy OCSP 裝訂似乎不接受沒有“下一次更新”行的 OCSP 響應。

問題

有人知道為什麼這裡的 OCSP 響應中缺少“下一次更新”行嗎?如何使該行包含在 OCSP 響應中?

我在 Ubuntu 18.04 LTS 上嘗試了附帶的 OpenSSL 包,但遇到了同樣的問題。

謝謝!

來自RFC 6960 - X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP的第 4.2.2.1 節:

如果未設置 nextUpdate,則響應者指示更新的撤銷資訊始終可用。

同時,RFC 5019 的第 2.2.4 節- 用於大容量環境的輕量級線上證書狀態協議 (OCSP) 配置文件說:

下一個更新

提供有關證書狀態的更新資訊的時間或之前。響應者必須始終包含此值以幫助響應記憶體。

因此,您的客戶似乎需要一個輕量級的 OCSP 響應程序。

快速瀏覽 OpenSSL OCSP 手冊頁顯示以下內容:

-nmin 分鐘,-days 天

新的撤銷資訊可用的分鐘數或天數:在 nextUpdate 欄位中使用。如果兩個選項都不存在,則省略 nextUpdate 欄位,這意味著新的撤銷資訊立即可用。

在啟動 OpenSSL OCSP 服務時嘗試添加-nmin 5或類似命令行。

引用自:https://serverfault.com/questions/985493