Wie kann ich einen OCSP-Responder (pkicreate, OpenSSL usw.) am besten einrichten?

533
Adriano_epifas

Ich habe eine Stamm- und Zwischenzertifizierungsstelle mit OpenSSL eingerichtet und mit dem Ausstellen von Serverzertifikaten begonnen. Für MS RDP (RemoteApp) war OCSP erforderlich, daher habe ich auch einen OCSP-Responder mit OpenSSL eingerichtet. Das Testen mit dem openssl ocspBefehl hat gut funktioniert, aber bei Verwendung von MS RDP oder sogar eines Webservers (IIS) mit dem ausgestellten Zertifikat, auf das Firefox zugreift, wurde beanstandet, dass die Zertifizierungsstelle nicht kontaktiert werden konnte.

Ich habe alles hier gepostet, aber nach einer Weile wurde mir klar, dass das Handbuch von OpenSSL OCSP dies sagt:

Der OCSP-Server ist nur für Test- und Demonstrationszwecke nützlich: Er kann nicht als vollständiger OCSP-Responder verwendet werden. Es enthält nur eine sehr einfache HTTP-Anforderungsverarbeitung und kann nur die POST-Form von OCSP-Abfragen verarbeiten.

Ich vermute also, ich sollte OpenSSL nicht für einen OCSP-Responder verwenden. Was ist der beste Weg, um einen einzurichten, am besten mit offener Software und CentOS?

2
Wie in @ grawity unten angegeben, ist für RDP überhaupt kein OCSP erforderlich. Wenn Sie jedoch darauf bestehen, einen zu verwenden, hat Primekeys EJBCA einen Responder in der Open-Source- und Enterprise-Version. Sie sollten eine CA-Anwendung (wie EJBCA) anstelle von OpenSSL verwenden, wenn Sie die Sicherheit ernst nehmen. garethTheRed vor 5 Jahren 0
Tatsächlich erfordert RDP nicht OCSP, sondern RemoteApp, die RDP verwendet. Ich habe EJBCA nachgesehen, aber ich habe versucht, Java zu meiden. Dann sah ich OpenCA und DogTag. Ich kann versuchen, einen von ihnen zu verwenden. Adriano_epifas vor 5 Jahren 1
DogTag benötigt leider auch Java :-( garethTheRed vor 5 Jahren 0
Obwohl ich Ihre Frage nicht direkt beantworte, habe ich gerade RemoteApps in einem Server 2008R2-Labor installiert (das war praktisch), und es war nicht erforderlich, OCSP zu verwenden. Welche Windows-Version verwenden Sie? garethTheRed vor 5 Jahren 0
@garethTheRed, Der Server ist Windows 2012R2. Ich war mir sicher, ein Zertifikat ohne die Erweiterung "Authority Information Access:" hinzuzufügen. Ich habe es zu "RD Connection Broker - Single Sign On aktivieren" und "RD Connection Broker - Publishing" hinzugefügt. Wenn ich jedoch versuche, eine Verbindung herzustellen, wird die Meldung angezeigt, dass für das Zertifikat keine Sperrung durchgeführt werden konnte. Adriano_epifas vor 5 Jahren 0
Mit dem Zugriff auf die Berechtigungsinformationen wird die Zertifikatskette aufgebaut, falls der Server nicht die vollständige Kette sendet. Sie benötigen die Erweiterung CRL Distribution Point, damit der Widerruf funktioniert. garethTheRed vor 5 Jahren 0

0 Antworten auf die Frage