OpenSSL OCSP
Приветствую всех) Возникла задача развёртывания центра сертификации для небольшой группы. Всего предполагается не более 20 клиентских и серверных сертификатов. Соответственно для повышения безопасности было принято решение использовать простые инструменты, а именно openssl и набор скриптов для подготовки, обработки запросов, и для периодического выпуска crl. Однако как выяснилось в openssl функции сервера OCSP предназначены лишь для ознакомления. Об этом свидетельствует соответствующее пояснение в оф.документации, а так же тот факт, что нестандартные запросы(обычный GET http://ocsp.example.com/) просто убивают этот сервер. В документации рекомендуют использовать некое cgi приложение. Кто нибудь сталкивался с подобной проблемой? Существует ли в природе этот cgi скрипт или же придётся самим сочинять? Ещё раз подчеркну, что не хотелось бы возиться с какими-то готовыми, громоздкими решениями. Всё должно быть максимально просто и прозрачно.
Ссылки
[link1] http://fossies.org/linux/misc/strongswan-5.0.1.tar.gz:a/strongswan-5.0.1/testing/tests/ikev2/ocsp-timeouts-good/hosts/winnetou/etc/openssl/ocsp/ocsp.cgi
Напишите простой CGI (обычный shell-скрипт, работающий в CGI-окружении), отфильтровывающий всё, что отличается от стандартного OCSP-запроса.
Фильтр – конечно тоже идея, но его эффективность всегда будет под вопросом... Да и потом его не быстрее написать чем приложение для работы с функциями OCSP в openssl. откопал вот что:
http://fossies.org/linux/misc/.....penssl/ocsp/ocsp.cgi[link1]
испытыю на досуге...
В общем скрипт из приведённой ссылки работает. Но есть один вопрос: когда openssl отправляет запрос на ocsp, то мы имеем POST запрос, но запрос имеет вид не http://ocsp.example.com, а http://192.168.1.2/. Т.е. если веб сервер не обрабатывает запросы по ip, то ничего неработает. Так вот интересно это только openssl так делает или все ocsp клиенты?
Вот скрипт, вдруг кому пригодится. Протестировано на nginx+fastcgi
Какой-то австриец интересовался данной темой недавно в рассылке openssl. Там он показал свой скрипт. Этот сделан на основе него и того, что приведён в третьем посте.
P.S.
где можно почитать о том как правильно описывать содержимое капчи?