Apa cara terbaik untuk mengatur responder OCSP (pkicreate, OpenSSL, lainnya)?


2

Saya mengatur root dan CA menengah dengan OpenSSL dan mulai mengeluarkan sertifikat server. Untuk MS RDP (RemoteApp) diperlukan OCSP, jadi saya juga mengatur responder OCSP dengan OpenSSL. Pengujian dengan openssl ocspperintah bekerja dengan baik, tetapi menggunakan MS RDP atau bahkan server web (IIS) dengan sertifikat yang diterbitkan sedang diakses oleh Firefox mengeluh CA tidak dapat dihubungi.

Saya memposting semuanya di sini , tetapi setelah beberapa saat saya menyadari manual OpenSSL OCSP mengatakan ini:

Server OCSP hanya berguna untuk tujuan pengujian dan demonstrasi: tidak benar-benar dapat digunakan sebagai responden OCSP penuh. Ini hanya berisi penanganan permintaan HTTP yang sangat sederhana dan hanya dapat menangani bentuk POST dari pertanyaan OCSP.

Jadi, saya kira saya tidak boleh menggunakan OpenSSL untuk responder OCSP? Apa cara terbaik untuk mengaturnya, lebih disukai menggunakan perangkat lunak terbuka dan CentOS?


Seperti yang dinyatakan @grawity di bawah ini, RDP tidak memerlukan OCSP sama sekali. Tetapi jika Anda bersikeras menggunakannya, EJBCA Primekey memiliki responden dalam versi open-source dan perusahaan mereka. Anda akan lebih baik menggunakan aplikasi CA (seperti EJBCA) daripada OpenSSL jika Anda serius tentang keamanan.
garethTheRed

1
Bahkan, RDP tidak memerlukan OCSP tetapi RemoteApp, yang menggunakan RDP membutuhkan. Saya sedang memeriksa EJBCA tetapi saya berusaha untuk menjauh dari Jawa. Lalu saya melihat OpenCA dan DogTag. Saya mungkin mencoba menggunakan salah satunya.
Adriano_epifas

Sayangnya, DogTag membutuhkan Java :-(
garethTheRed

Meskipun saya tidak langsung menjawab pertanyaan Anda, saya baru saja menginstal RemoteApps pada lab Server 2008R2 (itu nyaman) dan tidak ada persyaratan untuk menggunakan OCSP. Versi Windows apa yang Anda gunakan?
garethTheRed

@garethTheRed, Servernya adalah Windows 2012R2. Saya yakin akan menambahkan sertifikat tanpa ekstensi "Akses Informasi Otoritas:". Saya menambahkannya ke "RD Connection Broker - Enable Single Sign On" dan "RD Connection Broker - Publishing". Namun, ketika saya mencoba menghubungkannya tertulis "Pemeriksaan pencabutan tidak dapat dilakukan untuk sertifikat"
Adriano_epifas
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.