OpenSSL::OCSP
OpenSSL :: OCSP 实现在线证书状态协议请求和响应。
创建和发送 OCSP 请求需要在authorityInfoAccess扩展中包含 OCSP URL 的主题证书以及主题证书的颁发者证书。首先,加载发行人和主体证书:
subject = OpenSSL::X509::Certificate.new subject_pem
issuer = OpenSSL::X509::Certificate.new issuer_pem为了创建请求,我们需要为主题证书创建一个证书 ID,以便 CA 知道我们询问的是哪个证书:
digest = OpenSSL::Digest::SHA1.new
certificate_id =
OpenSSL::OCSP::CertificateId.new subject, issuer, digest然后创建一个请求并向其添加证书 ID:
request = OpenSSL::OCSP::Request.new
request.add_certid certificate_id在请求中添加一个 nonce 可防止重放攻击,但并非所有 CA 都处理 nonce。
request.add_nonce要将请求提交给 CA 进行验证,我们需要从主题证书中提取 OCSP URI:
authority_info_access = subject.extensions.find do |extension|
extension.oid == 'authorityInfoAccess'
end
descriptions = authority_info_access.value.split "\n"
ocsp = descriptions.find do |description|
description.start_with? 'OCSP'
end
require 'uri'
ocsp_uri = URI ocsp[/URI:(.*)/, 1]要提交请求,我们会将请求发送到 OCSP URI(根据RFC 2560)。请注意,我们只处理 HTTP 请求,并且在本例中不处理任何重定向,所以这对于严重使用是不够的。
require 'net/http'
http_response =
Net::HTTP.start ocsp_uri.hostname, ocsp.port do |http|
http.post ocsp_uri.path, request.to_der,
'content-type' => 'application/ocsp-request'
end
response = OpenSSL::OCSP::Response.new http_response.body
response_basic = response.basic首先我们检查响应是否有有效签名。没有有效的签名,我们不能相信它。如果您在此遇到故障,则可能缺少系统证书存储或者可能缺少中间证书。
store = OpenSSL::X509::Store.new
store.set_default_paths
unless response_basic.verify [], store then
raise 'response is not signed by a trusted certificate'
end该响应包含状态信息(成功/失败)。我们可以将状态显示为一个字符串:
puts response.status_string #=> successful接下来,我们需要知道回复的详细信息,以确定回复是否符合我们的要求。首先我们检查nonce。同样,并非所有的 CA 都支持随机数。有关返回值的含义,请参阅 OpenSSL :: OCSP :: Request#check_nonce。
p request.check_nonce basic_response #=> value from -1 to 3然后从基本响应中提取证书的状态信息。
single_response = basic_response.find_response(certificate_id)
unless single_response
raise 'basic_response does not have the status for the certificiate'
end然后检查有效性。未来发布的状态必须被拒绝。
unless single_response.check_validity
raise 'this_update is in the future or next_update time has passed'
end
case single_response.cert_status
when OpenSSL::OCSP::V_CERTSTATUS_GOOD
puts 'certificate is still valid'
when OpenSSL::OCSP::V_CERTSTATUS_REVOKED
puts "certificate has been revoked at #{single_response.revocation_time}"
when OpenSSL::OCSP::V_CERTSTATUS_UNKNOWN
puts 'responder doesn't know about the certificate'
end常量
NOCASIGN
(这个标志不被 OpenSSL 1.0.1g 使用)
NOCERTS
不要在响应中包含证书
NOCHAIN
不要验证响应中的证书链
NOCHECKS
不要进行额外的签名证书检查
NODELEGATED
(这个标志不被 OpenSSL 1.0.1g 使用)
NOEXPLICIT
不要检查信任
NOINTERN
不要搜索签名者的响应中包含的证书
NOSIGS
不要在响应中检查签名
NOTIME
不包括产生的响应时间
NOVERIFY
根本不验证响应
RESPID_KEY
通过签署证书密钥 ID 来识别响应
RESPONSE_STATUS_INTERNALERROR
发行人内部错误
RESPONSE_STATUS_MALFORMEDREQUEST
非法确认请求
RESPONSE_STATUS_SIGREQUIRED
您必须签署请求并重新提交
RESPONSE_STATUS_SUCCESSFUL
响应有有效的确认
RESPONSE_STATUS_TRYLATER
稍后再试
RESPONSE_STATUS_UNAUTHORIZED
您的请求未经授权。
REVOKED_STATUS_AFFILIATIONCHANGED
证书主题的名称或其他信息已更改
REVOKED_STATUS_CACOMPROMISE
由于密钥泄露,此 CA 证书已被吊销
REVOKED_STATUS_CERTIFICATEHOLD
该证书处于暂停状态
REVOKED_STATUS_CESSATIONOFOPERATION
证书不再需要
REVOKED_STATUS_KEYCOMPROMISE
该证书因重大妥协而被撤销
REVOKED_STATUS_NOSTATUS
该证书因不明原因被撤销
REVOKED_STATUS_REMOVEFROMCRL
该证书先前被搁置,现在应该从 CRL 中删除
REVOKED_STATUS_SUPERSEDED
证书已被新证书取代
REVOKED_STATUS_UNSPECIFIED
该证书因不明原因被撤销
TRUSTOTHER
不要验证其他证书
V_CERTSTATUS_GOOD
表示证书未被吊销,但并不一定意味着已颁发证书或此响应在证书的有效期限内
V_CERTSTATUS_REVOKED
表示证书已被永久或暂时吊销(保留)。
V_CERTSTATUS_UNKNOWN
表示响应者不知道所请求的证书。
V_RESPID_KEY
响应者 ID 基于公钥。
V_RESPID_NAME
响应者 ID 基于密钥名称。
本文档系腾讯云开发者社区成员共同维护,如有问题请联系 cloudcommunity@tencent.com
