Strongswan PKI - ED25519 Certifcates - OCSP Responder имеет проблемы
Я пытаюсь настроить ocsp для сертификатов, сгенерированных из strongswan PKI - используя его как CA. Если я попытаюсь использовать openssl, он просто выбросит Если я попытаюсь использовать openssl, он просто выбрасывает Can't open index.txt.attr для чтения, Нет такого файла или ...
Я пытаюсь настроить ocsp для сертификатов, сгенерированных из strongswan PKI - используя его как CA. Если я попытаюсь использовать openssl, он просто выбросит Если я попытаюсь использовать openssl, он просто выбрасывает Can't open index.txt.attr для чтения, Нет такого файла или ...
Я пытаюсь настроить ocsp для сертификатов, сгенерированных из strongswan PKI - используя его как CA. Если я попытаюсь использовать openssl, он просто выбросит
Не удается открыть index.txt.attr для чтения, нет такого файла или каталога
Пробовал переделать строку сертификата. По-прежнему не работает. Я просто врезаюсь в стену, и мне нужно взглянуть на нее свежим взглядом.
- Есть ли способ развернуть Strongswan?
Если да - 1а. Как? Не могу найти по нему никакой документации. Если нет - 1b. на правильном ли я пути с OpenSSL?
- Как мне исправить это сообщение об ошибке - используя strongswan - Кажется, я не могу создать index.txt
Также это команда, которую я использую, чтобы попытаться запустить это - openssl ocsp - index index.txt -CA ca.crt.pem -port 43450 -rkey ocsp.key.pem -rsigner ocsp.issuecrt.pem -resp_no_certs -nmin 60 -text
Раньше я настраивал OpenSSL апреля 2018 для алгоритма ed25519 и X25519 совместимость. Прежде чем понять, я не могу заставить crl работать. Затем начал развертывание strongswan для компонентов pki и CA (полностью установил strongswan вручную через source, configure, make, make test, make install - установка зависимости, когда я обнаружил необходимость. Это сработало, мой crl работал, но теперь я могу '' Я не получил ocsp, и я занимался этим большую часть 2-3 недель, пытаясь понять это, и у меня такое чувство, что я просто толстый и пользователь PEBKAC. Надеюсь, вы, ребята, сможете помочь. Если вам нужна дополнительная информация, запросите, я отредактирую и предоставлю.
Si heu utilitzat l'eina pki de [strong] per crear la vostra CA, no hi haurà cap fitxer index.txt que OpenSSL necessiti per al seu servidor OCSP. OpenSSL crea i modifica aquests fitxers de "base de dades" d'índex en emetre / revocar certificats mitjançant openssl ca . Per tant, si voleu utilitzar el servidor OCSP amb certificats que no s'han creat amb aquesta eina, heu de crear aquest fitxer manualment.
Afortunadament, els fitxers index.txt són fitxers de text senzills que es poden crear fàcilment segons sigui necessari. Els fitxers contenen la informació següent per a cada certificat, un per línia, amb cada camp separat per una pestanya:
- Estat: és "V" (vàlid), "R" (revocat) o "E" (caducat)
- Data / hora de caducitat en UTC (el format és
YYMMDDHHMMSSZ) - Data / hora de revocació (el mateix format que anteriorment, buit per als certificats vàlids o caducats) i motiu opcional (separats per comes, per exemple, "substituït" "o" keyCompromise ")
- Número de sèrie hexadecimal del certificat
- Nom del fitxer del certificat (l'OpenSSL no sembla que l'utilitzi i el defineix com a" desconegut "), també pot estar buit
- Assumpte DN de el certificat (barres separades dels RDN), opcional
Si teniu un certificat vàlid, podeu generar una entrada per al fitxer index.txt amb el següent script bash (passeu el camí d'accés al certificat codificat per PEM com a primer argument a el guió):
#!/bin/bash
crt=$1
exp=$(date -d "$(openssl x509 -enddate -noout -in $crt | cut -d= -f 2)" +"%y%m%d%H%M%SZ")
ser=$(openssl x509 -serial -noout -in $crt | cut -d= -f 2)
sub=$(openssl x509 -subject -noout -in $crt | cut -d= -f 2- | cut -d' ' -f 2-)
echo -e "V\t$exp\t\t$ser\tunknown\t$sub"
Per revocar un certificat, podeu canviar manualment el V a R i afegir la data i el motiu (opcional) a la tercera columna, p. generat amb $ (data + "% y% m% d% H% M% SZ, KeyCompromise") . Teòricament, també podríeu utilitzar openssl ca (i també openssl ca updatedb per marcar els certificats caducats), però això requereix configurar un fitxer de configuració adequat. Si no volíeu gestionar la vostra CA amb OpenSSL en primer lloc, potser seria excessiu.
També tingueu en compte que, en comparació amb una CRL, heu de llistar tots els certificats del fitxer com openssl ocsp no respondrà amb l'estat "bo" si no troba una entrada vàlida per al número de sèrie del certificat.