0
Для тестирования реализации ocsp мне нужен ответчик ocsp. Есть ли готовый ответчик для целей тестирования? Или есть способ запустить некоторый ответчик на локальном хосте?Как протестировать реализацию OCSP?
A
ответ
0
Если у вас есть или получить OpenSSL, он включает в себя простой, но полезный Ответчик OCSP; см. man ocsp (1) (иногда 1ssl или аналогичный) в вашей системе or on the web в разделе «Параметры сервера OCSP» примерно на полпути. (Команда ocsp также включает в себя клиент/запрашивающей и отладки утилиты.)
Это предназначено для поддержки сертификатов, выданных (и, возможно, аннулированные) с помощью команды OpenSSL ca (QV) и записаны в его «базы данных», но эта база данных представляет собой текстовый файл с разделителями табуляции (условно, но не обязательно с именем index.txt), который вы можете использовать для сертификатов, которые уже существуют, если все они имеют одинаковое имя эмитента. И, конечно, вам нужен ключ/cert/chain, поддерживающий знак OCSP для эмитента (или делегата). Я думал, что в формате базы данных есть документ, но я не могу его найти, и я использовал их так долго, что забыл, где я узнал, - возможно, это был код. Но для примера создания (re) index.txt см. https://unix.stackexchange.com/questions/320038/easy-rsa-index-txt-serial-and-duplicates (ответ частично мой).
Обратите внимание, что один процесс использует один файл базы данных и поддерживает один эмитент. Если вам требуется несколько эмитентов, вы можете запускать несколько процессов на разных портах и / или разных адресах на машине с несколькими адресами. Если это не подходит, вы можете поместить любой интерфейс HTTP между ними, например. httpd или nginx могут принимать смешанные запросы и переадресовывать http://myocsp.local/forCA1 в один openssl ocsp процесс на localhost:1001 и http://myocsp.local/forCA2 на другой по localhost:1002 и т. д.