OCSP 응답자를 설정하는 가장 좋은 방법은 무엇입니까 (pkicreate, OpenSSL 등)?


2

OpenSSL을 사용하여 루트 및 중간 CA를 설정하고 서버 인증서 발급을 시작했습니다. MS RDP (RemoteApp)의 경우 OCSP가 필요하므로 OpenSSL을 사용하여 OCSP 응답자를 설정했습니다. openssl ocsp명령을 사용한 테스트는 제대로 작동했지만 Firefox에서 액세스 한 발급 된 인증서로 MS RDP 또는 웹 서버 (IIS)를 사용하여 CA에 연결할 수 없다고 불평했습니다.

나는 여기 에 모든 것을 게시 했지만 잠시 후 OpenSSL OCSP 매뉴얼에 다음과 같이 나와 있습니다.

OCSP 서버는 테스트 및 데모 목적으로 만 유용합니다. 실제로 전체 OCSP 응답자로 사용할 수는 없습니다. 매우 간단한 HTTP 요청 처리 만 포함하며 POST 형식의 OCSP 쿼리 만 처리 할 수 ​​있습니다.

그래서 OCSP 응답자에 OpenSSL을 사용해서는 안된다고 생각합니다. 오픈 소프트웨어와 CentOS를 사용하는 것이 가장 좋은 방법은 무엇입니까?


@grawity가 아래에 나와 있듯이 RDP에는 OCSP가 전혀 필요하지 않습니다. 그러나 하나를 사용한다고 주장하면 Primekey의 EJBCA에는 오픈 소스 및 엔터프라이즈 버전의 응답자가 있습니다. 보안이 중요하다면 OpenSSL 대신 CACA (예 : EJBCA)를 사용하는 것이 좋습니다.
garethTheRed

1
실제로 RDP에는 OCSP가 필요하지 않지만 RDP를 사용하는 RemoteApp에는 필요합니다. EJBCA를 확인하고 있었지만 Java를 멀리하려고했습니다. 그런 다음 OpenCA와 DogTag를 보았습니다. 나는 그들 중 하나를 사용하려고 할 수 있습니다.
Adriano_epifas

DogTag는 불행히도 :-( 자바를 필요로
garethTheRed

귀하의 질문에 직접 대답하지는 않지만 Server 2008R2 랩에 RemoteApp를 설치했습니다 (편리했습니다) .OCSP를 사용할 필요는 없었습니다. 어떤 버전의 Windows를 사용하고 있습니까?
garethTheRed

@garethTheRed, 서버는 Windows 2012R2입니다. "Authority Information Access :"확장명이없는 인증서를 추가해야했습니다. "RD 연결 브로커-싱글 사인온 사용"및 "RD 연결 브로커-게시"에 추가했습니다. 그래도 연결하려고하면 "인증서에 대한 해지 확인을 수행 할 수 없습니다"라고 표시됩니다.
Adriano_epifas
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.