Desejo verificar a operação do servidor Microsoft OCSP no Linux. Eu tentei usar o OpenSSL, mas ele sempre retorna:
Error querying OCSP responder 140643157128320:error:27076072:OCSP routines:parse_http_line1:server response error:../crypto/ocsp/ocsp_ht.c:260:Code=405,Reason=Method Not Allowed
Verifiquei no lado do servidor e notei que o OpenSSL usa o método POST, em oposição ao método GET usado pelo certutil (que funciona bem):
# certutil Request
2021-09-28 10:26:51 10.11.12.13 GET /ocsp/<OCSP request> - 80 - 10.11.12.14 Microsoft-CryptoAPI/10.0 - 200 0 0 4583
# OpenSSL Request
2021-09-28 10:26:51 10.11.12.13 POST / - 80 - 10.11.12.15 - - 405 0 1 5991
Parece que o OpenSSL não pode ser forçado a usar GET em vez de post, mas talvez haja algum outro utilitário?
Ou, inversamente, existe um método para forçar o respondedor do MS OCSP a trabalhar com o POST também?
Você precisa adicionar a
-no_nonceopção ao OpenSSL.O servidor Microsoft OCSP não oferece suporte a nonce nas solicitações.