OpenSSL mit OCSP Server / OCSP Stapling

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

OpenSSL mit OCSP Server / OCSP Stapling

Beitrag von joe2017 » 07.01.2019 14:21:15

Schönen guten Tag zusammen,

Ich habe vor einiger Zeit einen OpenSSL Server (RootCA mit zwei (RSA und ECDSA) IndermediateCA´s) erstellt.
Für meine ersten Test hat das vollkommen ausgereicht, da ich meine zurückgerufenen Zertifikate gelöscht und neu erstellt habe.

Jetzt möchte ich jedoch einen Online Responder (OCSP Server) einbinden damit zurückgerufene Zertifikate auch bei meinen Clients als gesperrt gelistet werden.
In meinen OpenSSL Config Files hatte ich dies bereits vorgesehen (CRL und OCSP).

Code: Alles auswählen

[ crl_ext ]
# Extension for CRLs (`man x509v3_config`).
authorityKeyIdentifier=keyid:always

[ ocsp ]
# Extension for OCSP signing certificates (`man ocsp`).
basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature
extendedKeyUsage = critical, OCSPSigning

[crl_info]
URI.0 = http://CAServer.domain.com/crl/int_ecdsa.crl

[ocsp_info]
caIssuers;URI.0 = http://CAServer.domain.com/crl/int_ecdsa.crt
OCSP;URI.0 = http://CAServer.domain.com/ocsp/
Wahrscheinlich ist das keine große Sache. Vielleicht könnte mir hierbei jemand weiterhelfen.
Ich suche hierzu eine passende Installationsbeschreibung. Irgendwie komme ich mit den von mir gefundenen nicht weiter.

Vielen Dank.
Zuletzt geändert von joe2017 am 19.09.2019 17:19:54, insgesamt 1-mal geändert.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: OpenSSL mit OCSP Server

Beitrag von joe2017 » 19.09.2019 17:14:04

Leider hab ich dieses Thema in den letzten Monaten etwas vernachlässigt und wollte es nun noch einmal angehen.
Ich habe so einiges über das Thema gelesen und werde irgendwie nicht ganz schlau draus.

Hat jemand zu seiner eigenen OpenSSL CA schon mal einnen OCSP bereitgestellt?
Ich habe zu meiner OpenSSL CA einen Apache welcher meine CRL´s bereitstellt. Ich habe gehofft, dass man genauso einfach eine weitere Seite für den OCSP bereitstellen kann.

Vielen Dank schon mal


Ich habe gerade nochmal folgendes getestet:
OCSP Zertifikat erstellen

Code: Alles auswählen

openssl req -new -nodes -out ocsp/ocsp.csr -keyout ocsp/ocsp.key -config intermediate_ecdsa/openssl_server_ecdsa.cnf -extensions v3_ocsp
openssl ca -in ocsp/ocsp.csr -out ocsp/ocsp.crt -config intermediate_ecdsa/openssl_server_ecdsa.cnf -extensions v3_ocsp
OCSP Server starten

Code: Alles auswählen

openssl ocsp -index /root/ca/intermediate_ecdsa/index.txt -port 8888 -rsigner /root/ca/ocsp/ocsp.crt -rkey /root/ca/ocsp/ocsp.key -CA /root/ca/intermediate_ecdsa/certs/ca_ecdsa.pem -text -out /root/ca/ocsp/log.txt
Test Zertifikat prüfen

Code: Alles auswählen

openssl ocsp -CAfile intermediate_ecdsa/certs/ca_ecdsa.pem -issuer intermediate_ecdsa/certs/ca_ecdsa.pem -cert intermediate_ecdsa/certs/testcert_ecdsa.pem -url http://localhost:8888 -resp_text
Das funktioniert schon mal. Im Prinzip sollte das doch auch schon alles gewesen sein oder?
Ich müsste doch einfach nur dafür sorgen, dass der OCSP Server automatisch gestartet wird? oder?

Antworten