He configurado exitosamente OpenSSL OCSP respondedor con esta jerarquía: RootCA > Respondedor de OCSP (firmado por RootCA).
He implementado un punto de confianza (denominado RootCA ) en el ASA con la clave pública de RootCA. Por lo tanto, espero que se confíe en ASA a OCSP, porque es de confianza para RootCA, que tiene una clave de OCSP firmada. Pero parece que no lo es. Debido a la conexión de cliente VPN que tengo.
CRYPTO_PKI: Blocking chain callback called for OCSP response <...> status: 2
Recibo el mensaje de depuración anterior, que indica un problema con el firmante del certificado, de acuerdo con BRKSEC-3053
Por lo tanto, importé la clave OCSP a un punto de confianza separado (llamado OCSP ) y creé un mapa de certificado con una regla de OCSP de reemplazo. La jerarquía de comprobación de revocación ahora se ve así:
Cliente VPN > RootCA > mapa de certificado > Respondedor OCSP.
Con ese esquema, las respuestas de OCSP son de confianza y la verificación de la revocación se completó con éxito.
Mis preguntas son:
- ¿Realmente necesitamos un punto de confianza separado para la clave de firma de OCSP?
- ¿O es este el comportamiento esperado con la implementación del respondedor OCSP en OpenSSL?
- ¿O tal vez me he perdido algo importante?
¡Gracias!