OpenSSL OCSP

Приветствую всех) Возникла задача развёртывания центра сертификации для небольшой группы. Всего предполагается не более 20 клиентских и серверных сертификатов. Соответственно для повышения безопасности было принято решение использовать простые инструменты, а именно openssl и набор скриптов для подготовки, обработки запросов, и для периодического выпуска crl. Однако как выяснилось в openssl функции сервера OCSP предназначены лишь для ознакомления. Об этом свидетельствует соответствующее пояснение в оф.документации, а так же тот факт, что нестандартные запросы(обычный GET http://ocsp.example.com/) просто убивают этот сервер. В документации рекомендуют использовать некое cgi приложение. Кто нибудь сталкивался с подобной проблемой? Существует ли в природе этот cgi скрипт или же придётся самим сочинять? Ещё раз подчеркну, что не хотелось бы возиться с какими-то готовыми, громоздкими решениями. Всё должно быть максимально просто и прозрачно.

Комментарии

— SATtva (18/12/2012 19:44)
Напишите простой CGI (обычный shell-скрипт, работающий в CGI-окружении), отфильтровывающий всё, что отличается от стандартного OCSP-запроса.

— Гость (18/12/2012 20:10)
Фильтр – конечно тоже идея, но его эффективность всегда будет под вопросом... Да и потом его не быстрее написать чем приложение для работы с функциями OCSP в openssl. откопал вот что:
http://fossies.org/linux/misc/.....penssl/ocsp/ocsp.cgi^[link1]

испытыю на досуге...

— Гость (19/12/2012 15:37)
В общем скрипт из приведённой ссылки работает. Но есть один вопрос: когда openssl отправляет запрос на ocsp, то мы имеем POST запрос, но запрос имеет вид не http://ocsp.example.com, а http://192.168.1.2/. Т.е. если веб сервер не обрабатывает запросы по ip, то ничего неработает. Так вот интересно это только openssl так делает или все ocsp клиенты?

— Гость (19/12/2012 18:04)
Вот скрипт, вдруг кому пригодится. Протестировано на nginx+fastcgi

#!/bin/bash

function homepage
{
 echo -e -n "Content-type: text/plain\n\n"
 echo -e -n "OCSP SERVER\n\n"
}

function ocsp
{
 if [ "$CONTENT_TYPE" == "application/ocsp-request" ]; then
	echo "Content-type: application/ocsp-response"
	echo ""
	openssl ocsp -index index.txt -CA ca.pem.crt -rsigner ocsp.pem.crt -rkey ocsp.key -reqin /dev/stdin -respout /dev/stdout -nmin 5
 else
     error
fi
}

function error
{
 intro
 echo -e -n "Invalid OCSP request.\n"
}

case $REQUEST_METHOD in
 "GET")
   homepage
   ;;
 "POST")
   ocsp
   ;;
esac

Какой-то австриец интересовался данной темой недавно в рассылке openssl. Там он показал свой скрипт. Этот сделан на основе него и того, что приведён в третьем посте.

P.S.
где можно почитать о том как правильно описывать содержимое капчи?

Ссылки

^[link1] http://fossies.org/linux/misc/strongswan-5.0.1.tar.gz:a/strongswan-5.0.1/testing/tests/ikev2/ocsp-timeouts-good/hosts/winnetou/etc/openssl/ocsp/ocsp.cgi

openPGP в России

OpenSSL OCSP