#常规 OCSP (RFC 6960) 我编写了一个 OCSP 响应程序,其中响应基于 RFC 6960其中指出:
If nextUpdate is not set, the responder is indicating that newer revocation information is available all the time.
所以我没有设置 nextUpdate,只是像这里一样使用了 BouncyCaSTLe BasicOCSPRespBuilder(它默认设置了 thisUpdate,在 Wireshark Capture 中也可以看到):
basicOCSPRespBuilder.addResponse(certID, responseList.get(certID));
但是这些响应被 IIS 中的证书验证器拒绝了。在尝试 certutil 时,响应状态始终为“已过期”。
这是使用“certutil -url”命令验证的。
#轻量级 OCSP(RFC 5019) 一些谷歌搜索显示微软支持轻量级 OCSP,根据 RFC 5019其中指出:
Clients MUST check for the existence of the nextUpdate field and MUST ensure the current time, expressed in GMT time as described in Section 2.2.4, falls between the thisUpdate and nextUpdate times. If the nextUpdate field is absent, the client MUST reject the response.
所以我修改了实现以包含 nextUpdate 日期( future 几分钟),如下所示:
basicOCSPRespBuilder.addResponse(certID, responseList.get(certID), getNextUpdateDate(), null);
这让我摆脱了“已过期”状态问题,但现在的问题是,当它被部署到 Web 服务器并且我尝试执行“certutil -url”检查时,它返回“已验证”的 WebProxy 链接证书,但如果我直接提供服务器的 URL,它会显示“确定”。响应结构在两种情况下都保持不变,因为它是相同的响应者(使用 Wireshark Capture 验证,如果您愿意,我也可以附加它)。
#issuerKeyHash 字段
这里有趣的事实是,在通过 WebProxy 和直接 URL 的情况下,发送到服务器的 OCSP 请求是不同的。区别在于 OCSP 请求在将请求发送到直接链接时不包括 issuerKeyHash。
发送到返回“已验证”的 Webproxy 的 OCSP 请求的 Wireshark 捕获:-
发送到返回状态“OK”的直接链接的 OCSP 请求的 Wireshark 捕获:-
问题是请求为什么在一个实例中包含 issuerKeyHash 而在另一个实例中不包含。此外,即使来自服务器的 OCSP 响应相似(由 Wireshark Caputres 确认),为什么两个查询的状态不相同。
对于“URL 检索工具”或“certutil -verify”在这方面的任何有见地的文档/链接,我也将不胜感激。
我还可以根据要求包含 Wireshark 捕获。
我没有将 Java 和 BouncycaSTLe 作为标记包含在内,因为 OCSP 响应被 Java、openssl 等接受,没有任何问题(根据 RFC 6960,有或没有 nextUpdate)。这个问题是为了了解 Microsoft certutil 和此处的 OCSP 检查发生了什么。
#更新 #1 --- 开始更新 #1 ---
如@Crypt32 所建议;我可以验证在 URL 字段中使用 URL 时,由于未知原因未构建完整的证书路径,因此缺少 IssuerKeyHash。
假设响应总是包含 IssuerKeyHash,这可能导致“OK”而不是“Verified”状态。为了确认这一点,我修改了响应以匹配请求,并且如果它未在请求中交付但状态保持“正常”并且没有更改为“已验证”,则不会发送 IssuerKeyHash。
我们的想法是正确理解 Microsoft 应用程序如何处理 OCSP 响应以及如何正确实现 Responder,以便 Microsoft 应用程序不会完全失败。
研究正在进行中,任何意见和建议表示赞赏!!
--- 结束更新 #1 ---
最佳答案
Microsoft 使用轻量级 OCSP,因此需要 thisUpdate 和 nextUpdate 作为 RFC 5019 中引用的强制性要求.
关于 certutil 的查询现已得到澄清,感谢 @Crypt32。
在 certutil 的“下载 URL” 框中使用自定义 URL 时,不会生成完整的证书链,因此导致没有 的 OCSP 请求>IssuerKeyHash.
标准 CryptoAPI 客户端从不发送带有空 IssuerKeyHash 的 OCSP 请求,这只是特殊的 certutil 行为,可能会被忽略,因为它也往往会在 Windows OCSP 服务器上失败(我也通过 Microsoft CA 进行了验证)
关于windows - Microsoft OCSP 检查(OCSP 与轻量级 OCSP)和 "certutil -url"令人困惑的响应,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48823807/
我需要在客户计算机上运行Ruby应用程序。通常需要几天才能完成(复制大备份文件)。问题是如果启用sleep,它会中断应用程序。否则,计算机将持续运行数周,直到我下次访问为止。有什么方法可以防止执行期间休眠并让Windows在执行后休眠吗?欢迎任何疯狂的想法;-) 最佳答案 Here建议使用SetThreadExecutionStateWinAPI函数,使应用程序能够通知系统它正在使用中,从而防止系统在应用程序运行时进入休眠状态或关闭显示。像这样的东西:require'Win32API'ES_AWAYMODE_REQUIRED=0x0
我正在尝试测试是否存在表单。我是Rails新手。我的new.html.erb_spec.rb文件的内容是:require'spec_helper'describe"messages/new.html.erb"doit"shouldrendertheform"dorender'/messages/new.html.erb'reponse.shouldhave_form_putting_to(@message)with_submit_buttonendendView本身,new.html.erb,有代码:当我运行rspec时,它失败了:1)messages/new.html.erbshou
我在从html页面生成PDF时遇到问题。我正在使用PDFkit。在安装它的过程中,我注意到我需要wkhtmltopdf。所以我也安装了它。我做了PDFkit的文档所说的一切......现在我在尝试加载PDF时遇到了这个错误。这里是错误:commandfailed:"/usr/local/bin/wkhtmltopdf""--margin-right""0.75in""--page-size""Letter""--margin-top""0.75in""--margin-bottom""0.75in""--encoding""UTF-8""--margin-left""0.75in""-
为了将Cucumber用于命令行脚本,我按照提供的说明安装了arubagem。它在我的Gemfile中,我可以验证是否安装了正确的版本并且我已经包含了require'aruba/cucumber'在'features/env.rb'中为了确保它能正常工作,我写了以下场景:@announceScenario:Testingcucumber/arubaGivenablankslateThentheoutputfrom"ls-la"shouldcontain"drw"假设事情应该失败。它确实失败了,但失败的原因是错误的:@announceScenario:Testingcucumber/ar
我遵循MichaelHartl的“RubyonRails教程:学习Web开发”,并创建了检查用户名和电子邮件长度有效性的测试(名称最多50个字符,电子邮件最多255个字符)。test/helpers/application_helper_test.rb的内容是:require'test_helper'classApplicationHelperTest在运行bundleexecraketest时,所有测试都通过了,但我看到以下消息在最后被标记为错误:ERROR["test_full_title_helper",ApplicationHelperTest,1.820016791]test
我正在尝试从Postgresql表(table1)中获取数据,该表由另一个相关表(property)的字段(table2)过滤。在纯SQL中,我会这样编写查询:SELECT*FROMtable1JOINtable2USING(table2_id)WHEREtable2.propertyLIKE'query%'这工作正常:scope:my_scope,->(query){includes(:table2).where("table2.property":query)}但我真正需要的是使用LIKE运算符进行过滤,而不是严格相等。然而,这是行不通的:scope:my_scope,->(que
我正在尝试编写一个将文件上传到AWS并公开该文件的Ruby脚本。我做了以下事情:s3=Aws::S3::Resource.new(credentials:Aws::Credentials.new(KEY,SECRET),region:'us-west-2')obj=s3.bucket('stg-db').object('key')obj.upload_file(filename)这似乎工作正常,除了该文件不是公开可用的,而且我无法获得它的公共(public)URL。但是当我登录到S3时,我可以正常查看我的文件。为了使其公开可用,我将最后一行更改为obj.upload_file(file
当我尝试安装Ruby时遇到此错误。我试过查看this和this但无济于事➜~brewinstallrubyWarning:YouareusingOSX10.12.Wedonotprovidesupportforthispre-releaseversion.Youmayencounterbuildfailuresorotherbreakages.Pleasecreatepull-requestsinsteadoffilingissues.==>Installingdependenciesforruby:readline,libyaml,makedepend==>Installingrub
这似乎非常适得其反,因为太多的gem会在window上破裂。我一直在处理很多mysql和ruby-mysqlgem问题(gem本身发生段错误,一个名为UnixSocket的类显然在Windows机器上不能正常工作,等等)。我只是在浪费时间吗?我应该转向不同的脚本语言吗? 最佳答案 我在Windows上使用Ruby的经验很少,但是当我开始使用Ruby时,我是在Windows上,我的总体印象是它不是Windows原生系统。因此,在主要使用Windows多年之后,开始使用Ruby促使我切换回原来的系统Unix,这次是Linux。Rub
我在新的Debian6VirtualBoxVM上安装RVM时遇到问题。我已经安装了所有需要的包并使用下载了安装脚本(curl-shttps://rvm.beginrescueend.com/install/rvm)>rvm,但以单个用户身份运行时bashrvm我收到以下错误消息:ERROR:Unabletocheckoutbranch.安装在这里停止,并且(据我所知)没有安装RVM的任何文件。如果我以root身份运行脚本(对于多用户安装),我会收到另一条消息:Successfullycheckedoutbranch''安装程序继续并指示成功,但未添加.rvm目录,甚至在修改我的.bas