Wenn OCSP nicht funktioniert, dann ist das eine häufige Ursache dafür, dass eine Authentifizierung mit einem Zertifikat nicht funktioniert. Mit dem folgenden Skript kann OCSP getestet werden:
#!/usr/bin/env bash
openssl ocsp \
-CAfile ca.root.pem \
-issuer ca.intermediate.pem \
-cert cert.pem \
-url http://ocsp.example.com/ejbca/publicweb/status/ocsp \
-resp_text \
-respout resp.der
Zunächst müssen die beteiligten Zertifikate beschafft werden:
Die URL für die OCSP Abfrage bekommt man aus dem Attribut Authority Information Access des Zertifikats. Die im o.g. Skript erstellte Datei resp.der kann man sich mit
openssl ocsp -respin resp.der -text -noverify
ansehen.