В общем и целом
Я экспериментирую, чтобы настроить частный PKI с помощью OpenSSL на компьютере с CentOS 7. Все работает нормально, за исключением того, что в ответе OCSP отсутствует строка «Следующее обновление».
Системы
Синдромы
Когда я протестировал сертификат TLS из этого PKI на локальном ответчике OCSP, я получил следующие результаты:
Response verify OK certs/abc.com.pem: good This Update: Sep 24 18:04:31 2019 GMT
Я искал в Интернете, много Примеры там показать Следующее обновление линия прямо под This Update
строка в ответе OCSP. Например
openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp.digicert.com wikipedia.pem: good This Update: Apr 9 08:45:00 2014 GMT Next Update: Apr 16 09:00:00 2014 GMT
Это не большая проблема, пока не будет использоваться сшивание HAProxy OCSP. Сшивание HAProxy OCSP, похоже, не принимает ответ OCSP без строки «Следующее обновление».
Кто-нибудь знает, почему здесь в ответе OCSP отсутствует строка «Следующее обновление»? Как включить эту строку в ответ OCSP?
Я попробовал Ubuntu 18.04 LTS с поставляемым пакетом OpenSSL и получил ту же проблему.
Спасибо!
Из раздела 4.2.2.1 RFC 6960 - протокол статуса онлайн-сертификата инфраструктуры открытых ключей Интернета X.509 - OCSP:
Если nextUpdate не установлен, отвечающий указывает, что более новая информация об отзыве доступна все время.
Между тем раздел 2.2.4 из RFC 5019 - Профиль облегченного протокола состояния онлайн-сертификатов (OCSP) для сред с большим объемом говорит:
nextUpdate
Время, в которое или до которого будет доступна более новая информация о статусе сертификата. Ответчики ДОЛЖНЫ всегда включать это значение для помощи в кэшировании ответов.
Итак, похоже, что ваш клиент ожидает облегченного ответчика OCSP.
Беглый взгляд на страницу руководства OpenSSL OCSP показывает следующее:
-нмин минут, -пн. дни
Количество минут или дней, когда доступна свежая информация об отзыве: используется в поле nextUpdate. Если ни одна из опций отсутствует, поле nextUpdate опускается, что означает немедленную доступность новой информации об отзыве.
Попробуйте добавить -nmin 5
или аналогично командной строке при запуске службы OpenSSL OCSP.