问题[ocsp](server)

我们在 Windows Server 2019 上运行 Microsoft 证书颁发机构。我们通过 MDM 向 Android 设备颁发证书。Android 设备用户使用需要客户端证书的 Chrome Web 浏览器（在 Android 上）浏览到 Web 应用程序（由 Apache 托管，在 PHP 8 中实现）。

我们正在安装一个具有 Microsoft OCSP 响应者角色的单独 Windows Server 2019 实例，以验证/验证提交给 Apache Web 服务器的客户端证书是否有效。Apache 有几个指令来处理 OCSP 验证。我们还想在 PHP 中验证证书以提高安全性。

根据我阅读多个 RFC 和 Microsoft 技术文档的研究，Microsoft OCSP Responder 似乎通过引用 CRL 来验证证书的吊销状态。

如果证书已从 CA 中删除而不是吊销，Microsoft OCSP 响应程序如何验证证书？如果已删除且未撤销，它们将不会显示在 CRL 中。

我在这里错过了什么吗？Microsoft OCSP 响应程序是否会根据 CA 数据库验证序列号及其吊销状态？

我想从 Linux 验证 Microsoft OCSP 服务器的操作。我尝试使用 OpenSSL，但它总是返回：

Error querying OCSP responder 140643157128320:error:27076072:OCSP routines:parse_http_line1:server response error:../crypto/ocsp/ocsp_ht.c:260:Code=405,Reason=Method Not Allowed

我在服务器端检查并注意到 OpenSSL 使用 POST 方法，而不是 certutil 使用的 GET 方法（效果很好）：

# certutil Request
2021-09-28 10:26:51 10.11.12.13 GET /ocsp/<OCSP request> - 80 - 10.11.12.14 Microsoft-CryptoAPI/10.0 - 200 0 0 4583
# OpenSSL Request
2021-09-28 10:26:51 10.11.12.13 POST / - 80 - 10.11.12.15 - - 405 0 1 5991

似乎不能强迫 OpenSSL 使用 GET 而不是 post，但也许还有其他一些实用程序？

或者相反，是否有一种方法可以强制 MS OCSP 响应者也与 POST 一起工作？

TL;博士; 如何发现 Windows 上的 OCSP 响应有什么问题？

我正在尝试在本地 Exchange Server 2019 中安装新证书。但 Exchange 总是报告新证书未通过吊销检查并且不会使用它。新证书具有从新证书通过中间 CA 到我的根 ca 的信任链。当我在 certmgr.msc 中打开新证书时，我看到该链，并且所有证书在 certmgr 中都报告为 OK。我已将我的根 CA 安装到“受信任的根证书颁发机构”存储中。我已将中间 CA 安装到“中间证书颁发机构”存储中。

新证书的授权信息访问URL 指定了我自己的 OCSP 响应者。我知道这不是连接问题，也不是代理问题，因为我实时查看 OCSP 日志，并且我知道连接已建立，并且我的 OCSP 响应者发送证书“OK”。我在 linux 主机上使用 openssl-ocsp 进行了测试，当我使用以下 openssl 命令时，验证成功：

   openssl ocsp 
      -issuer "$ca_sub_cert_file" 
      -cert "$exchangeCert" 
      -resp_text 
      -CApath "$CA_ROOTS_HASHES_DIR" 
      -url "http://$hostNameFull:$ocsp_port/"

请注意，上面的 openssl 命令明确引用了issuer和CApath，这使得对中间 CA 的信任成为可能。在 Windows 上，我希望安装 root-ca 和中间 CA 会同样启用对 OCSP 响应的信任。但我不知道如何测试这个。

这应该不是必需的，但我还为 ocsp-responder “安装”了一个证书。我允许向导自动选择商店，但我找不到它放在哪里。当我在 certmgr.msc 中搜索它时，它不会出现。我没有手动安装它，因为我不知道我应该使用哪个商店。

我怀疑我的 openssl OCSP 响应者的响应对于 Exchange Server 2019 是错误的。我的理论是：

• 无法从新证书到我的根 CA 建立信任链
• 链已构建，但 ocsp-responder、中间 ca 或 root-ca 的证书之一不受信任。即使安装了intermediate-ca 和root-ca。
• openSSL 响应与 Windows 和/或 Exchange Server 2019 不兼容

如何检验上述理论？我搜索了 Windows 事件日志，但它们没有提及 OCSP 或撤销。

我在 PKI Secrets Engine 的容器中运行了保管库设置，并希望为应用程序添加 OCSP 支持以检查证书是否未被吊销。我没有找到任何关于如何为保险库设置 OCSP 的解释，也没有在任何博客中明确信息。

在我的设置中，我为 CRL 配置了以下内容

vault write pki/config/urls \
        issuing_certificates="http://127.0.0.1:8200/v1/pki/ca" \
        crl_distribution_points="http://127.0.0.1:8200/v1/pki/crl"

但是对于 OCSP 来说，没有什么比这更重要的了

我是否需要为 OSCP 设置单独的服务或 Vault 可以自行处理？

任何帮助了解 OCSP for Vault 将不胜感激？

我正在尝试根据此答案检查letsencrypt颁发的证书是否已被吊销：

 openssl ocsp -issuer highschoolhelper.org_fullchain.crt  -cert highschoolhelper.org_fullchain.crt  \
      -text -url http://ocsp.int-x3.letsencrypt.org  -header "HOST" "ocsp.int-x3.letsencrypt.org"

highschoolhelper.org_fullchain.crt 内容：

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
MIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/
MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT
DkRTVCBSb290IENBIFgzMB4XDTE2MDMxNzE2NDA0NloXDTIxMDMxNzE2NDA0Nlow
SjELMAkGA1UEBhMCVVMxFjAUBgNVBAoTDUxldCdzIEVuY3J5cHQxIzAhBgNVBAMT
GkxldCdzIEVuY3J5cHQgQXV0aG9yaXR5IFgzMIIBIjANBgkqhkiG9w0BAQEFAAOC
AQ8AMIIBCgKCAQEAnNMM8FrlLke3cl03g7NoYzDq1zUmGSXhvb418XCSL7e4S0EF
q6meNQhY7LEqxGiHC6PjdeTm86dicbp5gWAf15Gan/PQeGdxyGkOlZHP/uaZ6WA8
SMx+yk13EiSdRxta67nsHjcAHJyse6cF6s5K671B5TaYucv9bTyWaN8jKkKQDIZ0
Z8h/pZq4UmEUEz9l6YKHy9v6Dlb2honzhT+Xhq+w3Brvaw2VFn3EK6BlspkENnWA
a6xK8xuQSXgvopZPKiAlKQTGdMDQMc2PMTiVFrqoM7hD8bEfwzB/onkxEz0tNvjj
/PIzark5McWvxI0NHWQWM6r6hCm21AvA2H3DkwIDAQABo4IBfTCCAXkwEgYDVR0T
AQH/BAgwBgEB/wIBADAOBgNVHQ8BAf8EBAMCAYYwfwYIKwYBBQUHAQEEczBxMDIG
CCsGAQUFBzABhiZodHRwOi8vaXNyZy50cnVzdGlkLm9jc3AuaWRlbnRydXN0LmNv
bTA7BggrBgEFBQcwAoYvaHR0cDovL2FwcHMuaWRlbnRydXN0LmNvbS9yb290cy9k
c3Ryb290Y2F4My5wN2MwHwYDVR0jBBgwFoAUxKexpHsscfrb4UuQdf/EFWCFiRAw
VAYDVR0gBE0wSzAIBgZngQwBAgEwPwYLKwYBBAGC3xMBAQEwMDAuBggrBgEFBQcC
ARYiaHR0cDovL2Nwcy5yb290LXgxLmxldHNlbmNyeXB0Lm9yZzA8BgNVHR8ENTAz
MDGgL6AthitodHRwOi8vY3JsLmlkZW50cnVzdC5jb20vRFNUUk9PVENBWDNDUkwu
Y3JsMB0GA1UdDgQWBBSoSmpjBH3duubRObemRWXv86jsoTANBgkqhkiG9w0BAQsF
AAOCAQEA3TPXEfNjWDjdGBX7CVW+dla5cEilaUcne8IkCJLxWh9KEik3JHRRHGJo
uM2VcGfl96S8TihRzZvoroed6ti6WqEBmtzw3Wodatg+VyOeph4EYpr/1wXKtx8/
wApIvJSwtmVi4MFU5aMqrSDE6ea73Mj2tcMyo5jMd6jmeWUHK8so/joWUoHOUgwu
X4Po1QYz+3dszkDqMp4fklxBwXRsW10KXzPMTZ+sOPAveyxindmjkW8lGy+QsRlG
PfZ+G6Z6h7mjem0Y+iWlkYcV4PIWL1iwBi8saCbGS5jN2p8M+X+Q7UNKEkROb3N6
KOqkqm57TH2H3eDJAkSnh6/DNFu0Qg==
-----END CERTIFICATE-----

但我得到的是这个输出：

OCSP Request Data:
    Version: 1 (0x0)
    Requestor List:
        Certificate ID:
          Hash Algorithm: sha1
          Issuer Name Hash: 7EE66AE7729AB3FCF8A220646C16A12D6071085D
          Issuer Key Hash: 631192891A849CF47501DE858F83FF62B943199A
          Serial Number: 0486E5A1D0B9C6D97280AC24D47C6B552370
    Request Extensions:
        OCSP Nonce:
            0410193D65F8B1D045055EE5862101F61D02
Responder Error: unauthorized (6)

我想在我的 Debian 10 服务器上使用 Apache httpd启用 OCSP 装订mod_md 。我启用了模块，命令MDomain example.org理解，但是例子

<MDomain mydomain.net>
  MDStapling on
</MDomain>

启动apache2. 如果我只是保留MDStapling on，我会收到一个错误“无效的命令'MDStapling'，可能拼写错误或由未包含的模块定义......”。

如果不启用 mod_md 模块，我会收到命令错误MDomain example.org。因此，命令被理解的事实表明该模块已被加载。

注意：使用 mod_md 的建议来自Apache bug 57121 的这个评论。

我过去在 AWS 中使用过 OCSP 装订，由于 AWS 上的更改，它们不再允许这样做。这导致必须打开防火墙规则以允许来自客户端设备的 OCSP 的出站 HTTP 流量。

对我们来说，不允许在设备所在的安全网络上打开端口 80，并且一些人提出了这样的担忧，即通过 HTTP 以明文形式发送数据会使其在通往 OCSP 服务器的路由上受到 MiTM 操纵。

当我阅读有关在线证书状态协议的信息时，它谈到了使用 HTTP，但我看不到它具体说明它必须是端口 80 的位置。

任何人都有使用 OCSP 而没有使用端口 80 的经验，或者对向此流量开放此类端口有任何安全问题。

由于我想在我的 SSL 证书中设置“必须装订”属性，因此我正在做一些研究以了解我的所有服务是否都支持 OCSP 装订。到目前为止，我发现 Apache 确实可以使用 SSLLabs.com 进行确认。

但除此之外，我无法确认我的其他两个服务（SMTP 和 IMAP）是否也支持 OCSP 装订。现在我的问题是，Postfix 和 Dovecot 是否也支持它？

PS：我知道证书在邮件传输方面似乎并不重要，但我想避免任何可能的问题，如果我添加属性并且客户端可能因此拒绝工作，而其他人可以从中受益。

有没有办法让 Nginx每次重新加载配置或重新启动时主动OCSP 主打证书？或者，是否可以将 Nginx 设置为在重新加载或重新启动时保存装订的证书而不是丢弃它们？重新加载或重新启动 Nginx 似乎会清除所有缓存的 OCSP 装订证书。

我在运行 Nginx 1.11.4 并使用Certbot 的 OCSP Must-Staple TLS 功能扩展的 Ubuntu 16.04.1 服务器上进行了 OSCP 装订测试和工作。我的问题是，在重新加载或重新启动 Nginx 时，没有保存装订的响应，而是第一个访问者看到一个错误页面（这是服务器尚未装订的“必须装订”证书的预期结果）。

我必须访问服务器托管的每个网站并重新加载它们几次，而 Nginx 会自动 OCSP 装订证书，然后一切都会重新开始工作，直到下一次重新启动。我想自动化这一步或完全避免它。

我无法使用 GlobalSign 颁发的证书在 nginx/1.6.2 上设置 OCSP。我阅读了许多相关的帖子，但我发现没有一个解决方案有效。当我连接到服务器时，OCSP 不工作

> openssl s_client -connect cawi.kondeor.at:443 -tls1 -tlsextdebug -status
[...]                                             .
OCSP response: no response sent
depth=2 C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA
verify return:1
depth=1 C = BE, O = GlobalSign nv-sa, CN = GlobalSign Domain Validation CA - SHA256 - G2
verify return:1
depth=0 OU = Domain Control Validated, CN = cawi.kondeor.at
verify return:1
---
Certificate chain
 0 s:/OU=Domain Control Validated/CN=cawi.kondeor.at
   i:/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Domain Validation CA - SHA256 - G2
 1 s:/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Domain Validation CA - SHA256 - G2
   i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
---
Server certificate
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/CN=cawi.kondeor.at
issuer=/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Domain Validation CA - SHA256 - G2
---
No client certificate CA names sent
---
SSL handshake has read 2944 bytes and written 372 bytes
---
[...]
---

并且 nginx 日志显示以下错误：

[error] 10646#0: OCSP_basic_verify() failed (SSL: error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:Verify error:unable to get issuer certificate) while requesting certificate status, responder: ocsp2.globalsign.com

我发现的所有其他帖子都与Verify error:unable to get LOCAL issuer certificate通过修复证书链解决的错误有关。我的证书链似乎没问题，因为openssl ocsp命令有效（但仅当我使用-header "HOST" "ocsp2.globalsign.com"CDN 的参数时）：

> openssl ocsp -issuer root_ca_and_intermediate.pem -cert signed_cert_and_intermediate.pem -url http://ocsp2.globalsign.com/gsdomainvalsha2g2 -CAfile root_ca_and_intermediate.pem -header "HOST" "ocsp2.globalsign.com" -resp_text
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: 32B1CE1488C41C77C67D0B2DAEFE569D3A5F4E69
    Produced At: Sep 12 20:46:48 2016 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: D1F1B576F9EEC0C10F7AFC7C3124A9C3625D7C61
      Issuer Key Hash: EA4E7CD4802DE5158186268C826DC098A4CF970F
      Serial Number: 1121CD2E68A5AE7FEF7A719EDD4AE4034F8B
    Cert Status: good
    [...]
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            14:dd:f1:f0:75:30:57:18:61:ec:c0:2c
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=BE, O=GlobalSign nv-sa, CN=GlobalSign Domain Validation CA - SHA256 - G2
        Validity
            Not Before: Jul 25 03:28:41 2016 GMT
            Not After : Oct 25 03:28:41 2016 GMT
        Subject: C=BE, O=GlobalSign nv-sa/serialNumber=201607251137, CN=GlobalSign Domain Validation CA - SHA256 - G2 - OCSP Responder
        [...]
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----
Response verify OK
signed_cert_and_intermediate.pem: good
    This Update: Sep 12 20:46:48 2016 GMT
    Next Update: Sep 16 20:46:48 2016 GMT

可以在这里找到我的 nginx 配置的清理版本：http: //pastebin.com/KYujwSgS

Cloudflare 可能是这里的问题还是我忽略了什么？任何帮助是极大的赞赏！