在c中使用openssl验证常规OCSP(非装订)中的随机数时,我使用以下方法: OCSP_check_nonce(请求,基本响应)。
如果我想在OCSP装订中验证nonce作为客户端,那么由于没有请求,该怎么办?
有没有办法告诉服务器使用什么随机数?
谢谢。
答案 0 :(得分:0)
在OCSP订正响应中,Nonce毫无意义。 OCSP Nonce背后的想法是指示OCSP服务器使自己的缓存无效并生成/签名新响应。
当Web服务器使用OCSP装订时,服务器会预先获取响应并将其缓存。这实际上与查询不带随机数的OCSP服务器相同(有机会获得缓存的响应)。从技术上讲,没有随机数的OCSP和OCSP装订意味着要处理缓存的信息,并且与随机数不兼容。
如果要使用随机数验证证书,则必须忽略装订的OCSP响应,创建自己的OCSP请求(带有随机数)并将其提交给OCSP服务器。