Centos7 ocsp功能验证
转载:https://blog.csdn.net/tsh185/article/details/8107248
先按照Centos7创建CA和申请证书创建PKI所需要的文件
运行服务器端:
openssl ocsp -index ./CA/index.txt -CA ./ca.crt -rsigner ./server.crt -rkey ./server.key -port 8888 -text
运行客户端查询请求:
openssl ocsp -issuer ca.crt -url http://127.0.0.1:8888 -serial 01 -VAfile server.crt
说明: 服务器和客户端的 -CA 与 -issuer 后面都是接 ca 证书
服务器端的 -rsigner 和 -rkey 应该是一对 ./server.crt 是证书 ./server.key 是私钥, 用于对 传输过程中的 ocsp 消息进行签名
客户端的 -VAfile 的 ./server.crt 和 服务器端的 -rsigner 是一样的 都是证书, 客户端用于解签名数据,判断 ocsp 在传输过程中是否被篡改 。
-serial 后边参数为 待验证证书的序列号 。
获取 ca 签发的证书序列号为 01 的证书状态。
客户端也可以不进行 解签名操作(有一定的危险性), 也就是不关心 ocsp 消息在传输过程中是否被篡改
openssl ocsp -issuer ca.crt -url http://127.0.0.1:8888 -serial 01 -noverify