主页 / server / 问题 / 985493
Accepted
Insights.AI
Asked: 2019-09-25 10:11:24 +0800 CST

OCSP 响应中缺少“下一次更新”

  • 772

全面的

我正在尝试通过在一盒 CentOS 7 上使用 OpenSSL 来设置私有 PKI。除了 OCSP 响应中缺少“下一个更新”行的问题外,一切正常。

系统

  • 操作系统:CentOS 7.6
  • OpenSSL 1.0.2k-fips

综合症

当我在本地针对 OCSP 响应程序测试来自此 PKI 的 TLS 证书时,我得到以下结果:

响应验证 OK
certs/abc.com.pem:好
        本次更新:格林威治标准时间 2019 年 9 月 24 日 18:04:31

我在网上搜索,那里的很多示例都在 OCSP 响应的行下方显示了Next Update行。This Update例如

openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp.digicert.com
维基百科.pem:好
    本次更新:格林威治标准时间 2014 年 4 月 9 日 08:45:00
    下次更新:格林威治标准时间 2014 年 4 月 16 日 09:00:00

在与 HAProxy OCSP 装订一起使用之前,这不是一个大问题。HAProxy OCSP 装订似乎不接受没有“下一次更新”行的 OCSP 响应。

问题

有人知道为什么这里的 OCSP 响应中缺少“下一次更新”行吗?如何使该行包含在 OCSP 响应中?

我在 Ubuntu 18.04 LTS 上尝试了附带的 OpenSSL 包,但遇到了同样的问题。

谢谢!

openssl

1 个回答

  1. Best Answer

    来自RFC 6960 - X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP的第 4.2.2.1 节:

    如果未设置 nextUpdate,则响应者指示更新的撤销信息始终可用。

    同时,RFC 5019 的第 2.2.4 节- 用于大容量环境的轻量级在线证书状态协议 (OCSP) 配置文件说:

    下一个更新

    提供有关证书状态的更新信息的时间或之前。响应者必须始终包含此值以帮助响应缓存。

    因此,您的客户似乎需要一个轻量级的 OCSP 响应程序。

    快速浏览 OpenSSL OCSP 手册页显示以下内容:

    -nmin 分钟,-ndays 天

    新的撤销信息可用的分钟数或天数:在 nextUpdate 字段中使用。如果两个选项都不存在,则省略 nextUpdate 字段,这意味着新的撤销信息立即可用。

    在启动 OpenSSL OCSP 服务时尝试添加-nmin 5或类似命令行。

    • 1

相关问题