Centos7 ocsp功能验证

转载:https://blog.csdn.net/tsh185/article/details/8107248

 

先按照Centos7创建CA和申请证书创建PKI所需要的文件

 

运行服务器端:

openssl    ocsp    -index    ./CA/index.txt   -CA  ./ca.crt  -rsigner  ./server.crt    -rkey ./server.key  -port   8888  -text

 

运行客户端查询请求:

 

openssl  ocsp   -issuer   ca.crt     -url   http://127.0.0.1:8888   -serial  01   -VAfile   server.crt

 

说明:   服务器和客户端的 -CA 与 -issuer  后面都是接  ca 证书 

服务器端的 -rsigner  和 -rkey  应该是一对   ./server.crt  是证书  ./server.key  是私钥, 用于对 传输过程中的 ocsp 消息进行签名

客户端的  -VAfile 的 ./server.crt 和 服务器端的  -rsigner 是一样的 都是证书, 客户端用于解签名数据,判断 ocsp 在传输过程中是否被篡改 。

-serial  后边参数为 待验证证书的序列号 。

 

获取 ca 签发的证书序列号为 01 的证书状态。

 

客户端也可以不进行 解签名操作(有一定的危险性), 也就是不关心 ocsp 消息在传输过程中是否被篡改

 

openssl  ocsp  -issuer  ca.crt  -url  http://127.0.0.1:8888 -serial 01 -noverify

posted @ 2018-04-26 10:00  mingzhang  阅读(356)  评论(0编辑  收藏  举报