Я пытаюсь узнать об обработке сертификатов и CRL, поэтому я создал следующий пример цепочки сертификатов:
Root CA (самоподписанный) → Промежуточный CA (подписанный Root CA) → Сертификат сервера (подписанный bei Intermediate CA)
Теперь я хотел бы протестировать отзыв сертификата, чтобы он действовал. Для этого я аннулирую сертификат сервера и создаю файл CRL (промежуточного центра сертификации) соответственно. Точки распространения CRL X509v3 присутствуют во всех файлах сертификатов и доступны через http, например:
X509v3 CRL Distribution Points:
Full Name:
URI:http://127.0.0.1:80/intermediate_ca.crl
(Который является CRL, который я только что создал. (То же самое для Root CA). CRL на http://127.0.0.1: 80 / ca.crl .) Я дважды проверил, действительно ли они присутствуют и доступны по этому URI.)
Далее я cat Root Файл CA pem и файл CA pem Intermediata в CAChain.pem.
Я хотел бы получить команду, которая получает сертификат сервера и CAChain.pem и "сканирует" цепочку сертификатов чтобы проверить это в общей сложности.
Я пытался перейти с
openssl verify -extended_crl -crl_check_all -crl_download -CAfile CAChain.pem -verbose serverCert.pem
, но я просто получаю:
Error loading CRL from http://127.0.0.1:80/ca.crl
140041593399104:error:27076072:OCSP routines:parse_http_line1:server response error:crypto/ocsp/ocsp_ht.c:260:Code=404,Reason=Not Found
...
error 3 at 0 depth lookup: unable to get certificate CRL
Опять CRL действительно присутствует в обозначенном URI. Вот почему я не могу объяснить ошибку 404. (Кроме того, мне кажется немного странным, что ошибка возникает из-за модуля OSCP, так как я сейчас использую CRL.)
Я бы очень Спасибо, если кто-нибудь скажет мне, в чём заключается моя ошибка и как я могу достичь того, что изначально планировал (проверка всей цепочки сертификатов с использованием CRL). Заранее спасибо!