我设法在两个(虚拟)主机之间以传输模式build立IPsec连接,现在我希望服务器使用OCSP来validation客户端的证书。 在第三台主机上,我运行了一个OCSP应答器( openssl ocsp -port 80 ... )。 我可以看到服务器如何能够到达OCSP,发送查询并得到答复,但最后validation失败。
以下是日志在服务器(IPsec响应者)中所说的内容:
charon: 01[CFG] checking certificate status of "C=ES, ST=Gipuzkoa, L=Donostia-San Sebastian, O=Tecnalia, CN=client@localhost" charon: 01[CFG] requesting ocsp status from 'http://ocsp.localhost' ... charon: 01[CFG] using trusted ca certificate "C=ES, ST=Gipuzkoa, L=Donostia-San Sebastian, O=Tecnalia, CN=Tecnalia Root CA" charon: 01[CFG] reached self-signed root ca with a path length of 0 charon: 01[CFG] using trusted certificate "C=ES, ST=Gipuzkoa, L=Donostia-San Sebastian, O=Tecnalia, CN=ocsp.localhost" charon: 01[CFG] using certificate "C=ES, ST=Gipuzkoa, L=Donostia-San Sebastian, O=Tecnalia, CN=ocsp.localhost" charon: 01[CFG] no issuer certificate found for "C=ES, ST=Gipuzkoa, L=Donostia-San Sebastian, O=Tecnalia, CN=ocsp.localhost" charon: 01[CFG] ocsp response verification failed charon: 01[CFG] ocsp check failed, fallback to crl
为了方便起见,我已经在所有主机中复制了相同的证书文件(输出已修剪):
/etc/ipsec.d# ls -lR ./cacerts: total 4 -rw-r--r-- 1 root root 1367 Nov 2 09:53 ca.cert.pem ./certs: total 8 -rw-r--r-- 1 root root 1432 Nov 2 09:53 client.cert.pem -rw-r--r-- 1 root root 1700 Nov 2 09:53 localhost.cert.pem ./crls: total 0 ./ocspcerts: total 4 -rw-r--r-- 1 root root 1379 Nov 10 09:32 ocsp.cert.pem
这是一个非常简单的path,CA( ca.cert.pem )签署所有证书 – 服务器证书( localhost.cert.pem ),客户端证书( client.cert.pem )和OCSP响应者使用的证书( ocsp.cert.pem )。
这是我在服务器的ipsec.conf :
ca strongswan-ca cacert=ca.cert.pem ocspuri=http://ocsp.localhost auto=add
我想所有的东西都在那个讨厌的“没有发行者证书”的错误,但是到目前为止还不能说明为什么会发生这种情况。 如果我用openssl查询OCSP响应者,它不会给出任何validation错误。
那么,事实certificate这一点
为了方便起见,我已经在所有主机中复制了相同的证书文件
和这个
如果我用openssl查询OCSP响应者,它不会给出任何validation错误
好吧,是假的。 在某些时候,我搞砸了我的密钥,OCSP证书/密钥在OCSP服务器上与其他机器不同。 所以@ecdsa在他们的评论是完全正确的。
一切都很好,我发布的configuration,一旦我重新生成所有的关键和证书再次一切工作正常。