その3までの概要

OCSPサーバはHTTPをベースに動作するらしく、OpenSSLのOCSPサーバ機能はその動作を完全に実現しているわけではないらしい。OpenSSLのOCSPクライアントは、OCSPサーバにHTTPヘッダとPOSTボディに必要な情報を入れてOCSPサーバにリクエストを投げるらしいが、これ以外にもHTTPのURIにリクエストを全て埋め込んだものを受信しても応答を返すというモードがあるらしい。しかし、この機能はOpenSSLのOCSPサーバでは対応していないという。それを確認すべく、どのようにOCSPのリクエストをURIに含めて投げるのかというのをOpenSSLのOCSPはURLEncodeされたOCSPリクエストを処理できない?その3 - Shammerismでやった。今度はサーバーを動作させて、そのサーバ宛に同じようにリクエストを投げようと思ったが、、、

証明書に含まれる情報

MacOS 独自 CA 総まとめ - Shammerismで作成した独自のCAでは、OpenSSLのOCSPはURLEncodeされたOCSPリクエストを処理できない?その2 - Shammerismで確認した

Authority Information Access: 
                OCSP - URI:http://ocsp.digicert.com
                CA Issuers - URI:http://cacerts.digicert.com/DigiCertSHA2SecureServerCA.crt

の情報が含まれていないとわかった。まずは、証明書にこれを含めることをしないといけない。今までOpenSSLの様々な設定項目を無視というか意識しないで証明書を作成していたが、、、この辺をしっかり把握しておかないとこういうときに困ることになるのか。デフォルトだとできないらしい。そもそも、サーバー証明書もクライアント証明書も何が違うのかとか、メールで使用する証明書とこれらの違いもよくわからない。CAの作成方法について、というところからおさらいしないといけないのかもしれない。OCSPの話は一旦保留にして、OpenSSLの設定について復習していった方がいいのかもしれない。