Каков наилучший способ настроить респондент OCSP (pkicreate, OpenSSL, другие)?

446
Adriano_epifas

Я установил корневой и промежуточный CA с OpenSSL и начал выпускать сертификаты сервера. Для MS RDP (RemoteApp) требуется OCSP, поэтому я также настроил ответчик OCSP с OpenSSL. Тестирование с помощью openssl ocspкоманды работало нормально, но, используя MS RDP или даже веб-сервер (IIS) с этим выданным сертификатом, к которому Firefox обращался, жаловался, что с ЦС невозможно связаться.

Я разместил здесь все, но через некоторое время я понял, что в руководстве OpenSSL OCSP говорится следующее:

Сервер OCSP полезен только для целей тестирования и демонстрации: его нельзя использовать в качестве полного респондента OCSP. Он содержит только очень простую обработку HTTP-запросов и может обрабатывать только POST-форму запросов OCSP.

Итак, я предполагаю, что я не должен использовать OpenSSL для респондента OCSP? Каков наилучший способ его установки, предпочтительно с использованием открытого программного обеспечения и CentOS?

2
Как пишет @grawity ниже, RDP вообще не требует OCSP. Но если вы настаиваете на его использовании, EJBCA от Primekey имеет ответчика в своей версии с открытым исходным кодом и корпоративной версией. Вам лучше использовать приложение CA (например, EJBCA), а не OpenSSL, если вы серьезно относитесь к безопасности. garethTheRed 5 лет назад 0
Фактически, RDP не требует OCSP, а RemoteApp, который использует RDP, требует. Я проверял EJBCA, но пытался держаться подальше от Java. Затем я увидел OpenCA и DogTag. Я могу попытаться использовать один из них. Adriano_epifas 5 лет назад 1
DogTag также требует Java, к сожалению :-( garethTheRed 5 лет назад 0
Хотя я прямо не отвечаю на ваш вопрос, я только что установил RemoteApps в лаборатории Server 2008R2 (это было удобно), и не было необходимости использовать OCSP. Какую версию Windows вы используете? garethTheRed 5 лет назад 0
@garethTheRed, Сервер Windows 2012R2. Я был уверен, что добавлю сертификат без расширения «Доступ к информации о полномочиях». Я добавил его в «Посредник подключений к удаленному рабочему столу - включить единый вход» и «Посредник подключений к удаленному рабочему столу - публикация». Тем не менее, когда я пытаюсь подключиться, он говорит «Проверка отзыва не может быть выполнена для сертификата» Adriano_epifas 5 лет назад 0
Доступ к информации о полномочиях используется для создания цепочки сертификатов в случае, если сервер не отправляет полную цепочку. Вам нужно расширение точки распространения CRL, чтобы отработать отзыв. garethTheRed 5 лет назад 0

0 ответов на вопрос

Похожие вопросы