Добрый день.
Проблема в следующем.
Установил и настроил OCSP сервер.
Проверяю через рекомендованный в документации
ocsputil.exe makereq
ocsputil.exe sendreq
ocsputil.exe respinfo
Получаю вполне рабочий ответ, на действующий сертификат норм, на отозванный - отозванный.
Пример, из последнего теста (серт действующий), ответ
Status: 0successful
Signature algorithm: 1.2.643.2.2.3, ALG_ID: 0x0
HasNonce: 1
ProducedAt: 04.06.2014 17:44:24
Extensions: none
Certificate of signer of OCSP response: C=RU, CN=OCSP Operator ’…‘’
Verification of certificate of signer of OCSP response: succeed.
Verification of OCSP response: succeed.
Single responses (1):
#1:
Hash algorithm: 1.3.14.3.2.26
Serial number: 11A6 4744 0000 0000 01EA
Issuer key hash: FD09 4EB1 5F02 5D23 2E09 425C 43B7 3E7D 03DF C663
Issuer name hash: F2AE F094 C00F B49C D591 1B7D B0F6 DFAC C14F 17E4
Certificate status: Good
RevTime: none
RevReason: none
ThisUpdate: 04.06.2014 17:44:25
NextUpdate: none
Archive cutoff: none
Extensions: none
Verification of single response: succeed.
Certificates from OCSP response (1):
C=RU, CN=OCSP Operator ’…‘’
[ErrorCode: 0x00000000]
Добавляю ссылку на этот OCSP в AIA выдаваемых сертифкатов на УЦ.
(Центр сертификации - Свойства - Расширения - Доступ к сведениям о центрах сертификации (AIA) - добавляю url и галку включать в расширения протокола OCSP)
Выпускаю сертификат, вижу в нем появившуюся строку
[1]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=http://мой_тестдомен.ru/ocsp/
А вот дальше, начинаются проблемы.
Не понимаю как проверить реальную работу...
Т.к. перед внедрением на "боевом" УЦ хотелось бы быть стопроцентно уверенным, что у клиентов не возникнет проблем с выданными им сертификатами признанными например отозванными ошибочно...
Вычитал про certutil...
Вот тут и есть основная проблема, не могу понять в чем дело.
При проверке виндовой утилитой certutil -url c:\test\мой_серт.cer
выдает состояние Просрочен
Подскажите пожалуйста, в чем проблема, куда копать? Почему может быть такой ответ и в какую сторону копать...