我正在尝试设置 OCSP 验证例程,因此希望首先适应环境。在例如OpenSSL: Manually verify a certificate against an OCSP 中找到了优秀的教程。
出现多个问题,所以请耐心等待。
自该教程以来发生了一些变化,但我认为要点是:
1)获取您要验证的证书,例如
openssl s_client -connect wikipedia.org:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > wikipedia.pem
2)建立证书链,例如
openssl s_client -connect wikipedia.org:443 -showcerts 2>&1 < /dev/null > chain.pem
然后进行适当的编辑。我发现上面没有提供自签名 CA 证书 GlobalSignRootCA,所以在.
3)确定ocsp URI,例如
openssl x509 -noout -ocsp_uri -in wikipedia.pem
返回
http://ocsp2.globalsign.com/gsorganizationvalsha2g2
4)调用openssl ocsp客户端,例如
openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp2.globalsign.com/gsorganizationvalsha2g2
返回
[woody@oc2042275410 testCerts]$ openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http ://ocsp2.globalsign.com/gsorganizationvalsha2g2
Error querying OCSP responsder …