为了测试ocsp实现,我需要一个ocsp响应器。是否有用于测试目的的现成响应器?或者有没有办法在本地主机上运行一些响应者?
答案 0 :(得分:0)
如果您拥有或获得 openssl ,包含一个基本但可用的OCSP响应者;请参阅系统or on the web上的人ocsp(1)(有时是1ssl或类似),“OCSP服务器选项”大约一半。 (ocsp
命令还包括客户端/请求者和调试实用程序。)
这是为了支持openssl ca
命令(qv)发布(并可选地被撤销)的证书并记录在其“数据库”中,但该数据库只是一个制表符分隔的文本文件(通常但不是必须命名为index.txt
),只要它们都具有相同的颁发者名称,您就可以使用已存在的证书。当然,您需要为发行人(或代表)提供支持OCSP签名的密钥/证书/链。我认为有'数据库'格式的文档,但我找不到它,我一直在使用它们,所以我忘记了我学到的地方 - 它可能来自代码。但是对于(重新)创建index.txt
的示例,请参阅https://unix.stackexchange.com/questions/320038/easy-rsa-index-txt-serial-and-duplicates(部分回答我的)。
请注意,一个进程使用一个“数据库”文件并支持一个发布者。如果您需要多个颁发者,则可以在具有多个地址的计算机上的不同端口和/或不同地址上运行多个进程。如果这不合适,您可以在其间放置任何HTTP前端,例如httpd或nginx可以接受混合请求,并将http://myocsp.local/forCA1
转发至openssl ocsp
上的localhost:1001
个进程,http://myocsp.local/forCA2
转发给localhost:1002
上的另一个进程。