OCSP Test | ip6.li

Wenn OCSP nicht funktioniert, dann ist das eine häufige Ursache dafür, dass eine Authentifizierung mit einem Zertifikat nicht funktioniert. Mit dem folgenden Skript kann OCSP getestet werden:

#!/usr/bin/env bash

openssl ocsp \
  -CAfile ca.root.pem \
  -issuer ca.intermediate.pem \
  -cert cert.pem \
  -url http://ocsp.example.com/ejbca/publicweb/status/ocsp \
  -resp_text \
  -respout resp.der

Zunächst müssen die beteiligten Zertifikate beschafft werden:

Root CA Zertifikat
Intermediate Zertifikat mit dem das zu prüfende Zertifikat signiert wurde
Das Zertfikat selbst

Die URL für die OCSP Abfrage bekommt man aus dem Attribut Authority Information Access des Zertifikats. Die im o.g. Skript erstellte Datei resp.der kann man sich mit

openssl ocsp -respin resp.der -text -noverify

ansehen.

Zurück