在防火墙后验证 SSL 证书

Question

我正在使用 SSL 证书连接到第 3 方服务。我的服务器在运行防火墙后面，阻止了传出流量。该应用程序无法验证第 3 方证书。

MailKit.Security.SslHandshakeException: An error occurred while attempting to establish an SSL or TLS connection.

The server's SSL certificate could not be validated for the following reasons:
• The server certificate has the following errors:
  • The revocation function was unable to check revocation for the certificate.
  • The revocation function was unable to check revocation because the revocation server was offline.
• An intermediate certificate has the following errors:
  • The revocation function was unable to check revocation for the certificate.
  • The revocation function was unable to check revocation because the revocation server was offline.

我试图 google 客户端如何验证证书链，但没有找到。我对应用程序/服务器正在执行其验证查询的端口和地址特别感兴趣。

作为即时修补程序，我必须允许到所有目的地的普通 HTTP 传出流量。

Answer 1

OCSP（在线证书状态协议）URL 可以在证书链的任何级别（根、中间、叶）中找到。

基于 this answer 可以使用 openssl:

找到应用的 url

openssl x509 -in cert.pem -noout -ocsp_uri

幸运的是 Fortigate 防火墙在其 Internet 服务 数据库中有主要的 OCSP 服务器，所以我不需要一一检查。

无论如何，OCSP 实施几乎没有问题，OCSP Stapling 正在努力解决其中一个问题。

在防火墙后验证 SSL 证书

Validating SSL certificate behind firewall

.net

ssl

firewall