opensslでOCSPを動作させる
OCSPとは
OpenSSLでCRLを生成する - Shammerismで、証明書を失効させる方法をメモしたが、そのCRLを配信する仕組みとしてOCSPというものがあるらしい。これをopensslで実行できるようだ。
CRLの作成
以前の記事とほぼ同じだが。
- Define original CA
- echo 00 > demoCA/crlnumber
- openssl ca -config openssl.cnf -gencrl -revoke $RevokeCertificateFile
opensslをOCSPとして動作させる
Original CA と同一ホストで以下のようなコマンドを実行する。ポート番号は8888にしたがこれは適当。
openssl ocsp -index demoCA/index.txt -port 8888 -CA demoCA/cacert.pem -rsigner demoCA/cacert.pem -rkey demoCA/private/cakey.pem
最初、-rsignerと-rkeyを付けておらず、すぐに停止してしまった。最低限上記のオプションが必要なようだ。