OCSPとは

OpenSSLでCRLを生成する - Shammerismで、証明書を失効させる方法をメモしたが、そのCRLを配信する仕組みとしてOCSPというものがあるらしい。これをopensslで実行できるようだ。

CRLの作成

以前の記事とほぼ同じだが。

1. Define original CA
2. echo 00 > demoCA/crlnumber
3. openssl ca -config openssl.cnf -gencrl -revoke $RevokeCertificateFile

opensslをOCSPとして動作させる

Original CA と同一ホストで以下のようなコマンドを実行する。ポート番号は8888にしたがこれは適当。

openssl ocsp -index demoCA/index.txt -port 8888 -CA demoCA/cacert.pem -rsigner demoCA/cacert.pem -rkey demoCA/private/cakey.pem

最初、-rsignerと-rkeyを付けておらず、すぐに停止してしまった。最低限上記のオプションが必要なようだ。