OCSP実装をテストするにはどうすればよいですか？

Question

ocsp実装のテストでは、ocspレスポンダが必要です。テスト目的のレスポンダーはありますか？または、ローカルホスト上でレスポンダを実行する方法はありますか？

Answer 1

opensslがある場合は、には、基本的ですが使用可能なOCSPレスポンダが含まれています。 「OCSPサーバーオプション」の中のシステムor on the webのman ocsp（1）（時には1sslまたは同様のもの）を半分ほど表示してください。 （ocspコマンドは、クライアント/依頼者とデバッグユーティリティが含まれています。）

をこれはopensslのcaコマンド（そちらも参照）が発行した証明書（およびオプションで取り消された）をサポートするために設計されており、その「データベース」に記録されているが、そのデータベースれますタブ名で区切られたテキストファイル（通常は、必ずしも名前はindex.txtというわけではありません）です。これらはすべて、同じ発行者名を持っている限り、すでに存在する証明書を控除することができます。もちろん、発行者（または代理人）のOCSP署名をサポートする鍵/証明書/チェーンが必要です。私は「データベース」形式の文書があると思っていましたが、それを見つけることができず、私が学んだところを忘れてしまったので、コードを使っていたかもしれません。しかし、（再）index.txtを作成する例については、https://unix.stackexchange.com/questions/320038/easy-rsa-index-txt-serial-and-duplicates（部分的に私の答え）を参照してください。

1つのプロセスが1つの「データベース」ファイルを使用し、1つの発行者をサポートしていることに注意してください。複数の発行者が必要な場合は、複数のアドレスを持つマシン上の異なるポートおよび/または異なるアドレスで複数のプロセスを実行できます。それが適切でない場合は、HTTPフロントエンドを間に置くことができます。 httpdのかなどnginxの混合の要求を受け入れ、localhost:1002上の別localhost:1001とhttp://myocsp.local/forCA2にhttp://myocsp.local/forCA1openssl ocsp 1に処理を転送することができ