OCSP “global” con Apache mod_ssl / Alternativa a la opción -VAfile Openssl

Navega tus respuestas
2

Contexto

Estoy desarrollando mi propio respondedor OCSP que firmó sus respuestas ocsp con su propio certificado autofirmado caOcspBC.crt. Puede encontrarlo aquí: enlace Quiero obtener el estado de revocación de un certificado RC.crt emitido desde un certificado de CA CA.crt gracias a openssl.

Todos mis certificados se encuentran aquí: enlace

Entonces, ejecuto este primer comando donde confío explícitamente en mi certificado ocsp gracias a la opción -VAfile:

# openssl ocsp -issuer CA.crt -VAfile caOcspBC.crt -cert RC.crt -req_text -url http://responderurl:port/myServlet OCSP Request Data: Version: 1 (0x0) Requestor List: Certificate ID: Hash Algorithm: sha1 Issuer Name Hash: 19266539D5B4B518D4382B2D3779CBF53A6061D6 Issuer Key Hash: 89B91685082EF65F5611F965E94422D602BE27DB Serial Number: 0A Request Extensions: OCSP Nonce: 04106D042BFA97BFA61F5AAAD756C5619CF2 Response verify OK RC.crt: good This Update: May 19 14:51:51 2014 GMT

Funciona bien.

Si no uso la opción -VAfile obtengo:

# openssl ocsp -issuer CA.crt -cert RC.crt -req_text -url http://responderUrl:port/myServlet OCSP Request Data: Version: 1 (0x0) Requestor List: Certificate ID: Hash Algorithm: sha1 Issuer Name Hash: 19266539D5B4B518D4382B2D3779CBF53A6061D6 Issuer Key Hash: 89B91685082EF65F5611F965E94422D602BE27DB Serial Number: 0A Request Extensions: OCSP Nonce: 0410C8D048BB5A49596A7714B4D74935E3C5 Response Verify Failure 140451402069696:error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:ocsp_vfy.c:126:Verify error:unable to get local issuer certificate RC.crt: good This Update: May 19 14:52:09 2014 GMT

No funciona. De hecho, mi cliente openssl no confía en mi certificado ocsp.

Problema

Pero quiero usar Apache mod_ssl con mi OCSP genérico, y no hay una asignación de directivas a la opción -VAfile - > No puedo especificar los certificados de respondedores de confianza.

Pregunta

¿Qué puedo hacer para que mi Apache confíe en mi certificado autocontenido de respondedor de OCSP?

Contexto adicional

Probé muchas cosas:

  • Importé mi certificado autofirmado caOcspBC.crt en / etc / ssl / certs al usar esto: enlace (enlace simbólico) No funcionó (el mismo error que se mencionó anteriormente ocsp_vfy.c: 126: error de verificación: no se pudo obtener el certificado del emisor local)

  • En los estados de la documentación de openssl ocsp:

    If the OCSP responder is a ''global responder'' which can give details about multiple CAs and has its own separate certificate chain then its root CA can be trusted for OCSP signing. For example: openssl x509 -in ocspCA.pem -addtrust OCSPSigning -out trustedCA.pem Alternatively the responder certificate itself can be explicitly trusted with the -VAfile option.

Entonces, ejecuté este comando en mi certificado autofirmado y luego lo puse en / etc / ssl / certs como se mencionó anteriormente.

No funcionó (el mismo error que se mencionó anteriormente ocsp_vfy.c: 126: error de verificación: no se pudo obtener el certificado del emisor local)

    
pregunta Dinou 14.05.2014 - 10:17
fuente

1 respuesta

1

Pregunta

¿Qué puedo hacer para que mi Apache confíe en mi certificado autocontenido de respondedor de OCSP?

Respuesta

Primero, el certificado autofirmado debe tener las siguientes propiedades:

  • KeyUsage: digitalSignature, nonRepudiation, keyEncipherment, keyCertSign
  • ExtendedKeyUsage: OCSPSigning
  • BasicConstraints: critical, CA: TRUE, pathlen: 0

Debe estar en formato pem.

Luego, aplique el siguiente comando al certificado: 

openssl x509 -in selfSignedCert.pem -addtrust OCSPSigning -out trusted.pem

Y, finalmente, adjúntelo al archivo especificado en ssl.conf en Apache mediante la directiva SSLCACertificateFile

    
respondido por el Dinou 19.06.2014 - 15:30
fuente

Lea otras preguntas en las etiquetas

¿Existe un estándar similar a FIPS 181 para la generación aleatoria de contraseñas con semilla alfanumérica? Hardware antiguo para cifrado y libre de puerta trasera