如何测试OCSP的实现?
How to test OCSP implementation?
为了测试 ocsp 实现,我需要一个 ocsp 响应器。是否有用于测试目的的现成响应程序?或者有什么方法可以 运行 本地主机上的一些响应者?
如果您拥有或获得 openssl,它包含一个基本但可用的 OCSP 响应器;在你的系统 or on the web 上查看 man ocsp(1) (有时是 1ssl 或类似的)在 "OCSP Server Options" 大约一半的时间。 (ocsp 命令还包括 client/requester 和调试实用程序。)
这旨在支持由 openssl ca 命令 (q.v.) 颁发(并可选择撤销)并记录在其 'database' 中的证书,但该数据库只是一个制表符分隔的文本文件(通常但不一定命名为 index.txt),只要它们都具有相同的颁发者名称,您就可以使用它来获取已经存在的证书。当然,您需要 key/cert/chain 支持发行人(或委托人)的 OCSP 签名。我以为有关于 'database' 格式的文档,但我找不到它,而且我一直在使用它们太久了,我忘记了我是从哪里学来的——它可能是从代码中学来的。但是有关(重新)创建 index.txt 的示例,请参阅 https://unix.stackexchange.com/questions/320038/easy-rsa-index-txt-serial-and-duplicates(部分回答我的)。
请注意,一个进程使用一个 'database' 文件并支持一个发行者。如果您需要多个发行者,您可以 运行 不同端口上的多个进程 and/or 具有多个地址的机器上的不同地址。如果那不合适,您可以在两者之间放置任何 HTTP 前端,例如httpd 或 nginx 可以接受混合请求并在 localhost:1001 上转发 http://myocsp.local/forCA1 到一个 openssl ocsp 进程,在 localhost:1002 上转发 http://myocsp.local/forCA2 到另一个进程等
为了测试 ocsp 实现,我需要一个 ocsp 响应器。是否有用于测试目的的现成响应程序?或者有什么方法可以 运行 本地主机上的一些响应者?
如果您拥有或获得 openssl,它包含一个基本但可用的 OCSP 响应器;在你的系统 or on the web 上查看 man ocsp(1) (有时是 1ssl 或类似的)在 "OCSP Server Options" 大约一半的时间。 (ocsp 命令还包括 client/requester 和调试实用程序。)
这旨在支持由 openssl ca 命令 (q.v.) 颁发(并可选择撤销)并记录在其 'database' 中的证书,但该数据库只是一个制表符分隔的文本文件(通常但不一定命名为 index.txt),只要它们都具有相同的颁发者名称,您就可以使用它来获取已经存在的证书。当然,您需要 key/cert/chain 支持发行人(或委托人)的 OCSP 签名。我以为有关于 'database' 格式的文档,但我找不到它,而且我一直在使用它们太久了,我忘记了我是从哪里学来的——它可能是从代码中学来的。但是有关(重新)创建 index.txt 的示例,请参阅 https://unix.stackexchange.com/questions/320038/easy-rsa-index-txt-serial-and-duplicates(部分回答我的)。
请注意,一个进程使用一个 'database' 文件并支持一个发行者。如果您需要多个发行者,您可以 运行 不同端口上的多个进程 and/or 具有多个地址的机器上的不同地址。如果那不合适,您可以在两者之间放置任何 HTTP 前端,例如httpd 或 nginx 可以接受混合请求并在 localhost:1001 上转发 http://myocsp.local/forCA1 到一个 openssl ocsp 进程,在 localhost:1002 上转发 http://myocsp.local/forCA2 到另一个进程等