id: Гость   вход   регистрация
текущее время 13:59 29/03/2024
Автор темы: Гость, тема открыта 18/12/2012 19:31 Печать
Категории: софт, стандарты, x.509, свободный софт, ssl
создать
просмотр
ссылки

OpenSSL OCSP


Приветствую всех) Возникла задача развёртывания центра сертификации для небольшой группы. Всего предполагается не более 20 клиентских и серверных сертификатов. Соответственно для повышения безопасности было принято решение использовать простые инструменты, а именно openssl и набор скриптов для подготовки, обработки запросов, и для периодического выпуска crl. Однако как выяснилось в openssl функции сервера OCSP предназначены лишь для ознакомления. Об этом свидетельствует соответствующее пояснение в оф.документации, а так же тот факт, что нестандартные запросы(обычный GET http://ocsp.example.com/) просто убивают этот сервер. В документации рекомендуют использовать некое cgi приложение. Кто нибудь сталкивался с подобной проблемой? Существует ли в природе этот cgi скрипт или же придётся самим сочинять? Ещё раз подчеркну, что не хотелось бы возиться с какими-то готовыми, громоздкими решениями. Всё должно быть максимально просто и прозрачно.


 
Комментарии
— SATtva (18/12/2012 19:44)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Напишите простой CGI (обычный shell-скрипт, работающий в CGI-окружении), отфильтровывающий всё, что отличается от стандартного OCSP-запроса.
— Гость (18/12/2012 20:10)   <#>
Фильтр – конечно тоже идея, но его эффективность всегда будет под вопросом... Да и потом его не быстрее написать чем приложение для работы с функциями OCSP в openssl. откопал вот что:
http://fossies.org/linux/misc/.....penssl/ocsp/ocsp.cgi

испытыю на досуге...
— Гость (19/12/2012 15:37)   <#>
В общем скрипт из приведённой ссылки работает. Но есть один вопрос: когда openssl отправляет запрос на ocsp, то мы имеем POST запрос, но запрос имеет вид не http://ocsp.example.com, а http://192.168.1.2/. Т.е. если веб сервер не обрабатывает запросы по ip, то ничего неработает. Так вот интересно это только openssl так делает или все ocsp клиенты?
— Гость (19/12/2012 18:04)   <#>
Вот скрипт, вдруг кому пригодится. Протестировано на nginx+fastcgi


Какой-то австриец интересовался данной темой недавно в рассылке openssl. Там он показал свой скрипт. Этот сделан на основе него и того, что приведён в третьем посте.

P.S.
где можно почитать о том как правильно описывать содержимое капчи?
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3