您如何测试HTTPS站点以获取已撤销的证书?

Modified on: Sun, 26 May 2019 21:20:03 +0800

我目前正在使用nagios进行监控,包括使用check_http选项来检查即将到期的SSL证书等。我想做的是包括测试撤销的证书对于我监控的每个站点。听起来很简单吧?良好:

  • check_http似乎没有检查撤销的证书。至少,它最近发生时并没有发出哔哔声,这导致了一些混乱
  • Openssl的verify-crl_check-crl_check_all,这会很棒,但我关心的是OSCP而不是CRL(因为那是什么浏览器会关心)
  • Openssl有一个oscp模式,但看起来我必须做一大堆工作才能将证书放到正确的位置,找出OSCP服务器的位置,等等。 / LI>

我发现了很多关于编写代码来进行OSCP检查的文章,但是必须有一个很好的程序才能做到,对吧?我想要的是Nagios检查,或者我可以作为一个使用的东西。在我完美的世界里,它看起来像是:

check_http_with_oscp -I (IP) -H (hostname) -p 443

任何?

作者:,Bill Weiss

最佳答案

我担心我只能在这里指点一下,但你应该能够把一些东西放在一起而不会有太多的痛苦。

openssl的s_client -showcerts将转储PEM编码的证书。你可以很容易地用正则表达式提取每一个。然后通过openssl x509 -text管道它们以提取OCSP url。然后openssl ocsp可用于向响应者发送OCSP请求:

http://openssl.org/docs/apps/ocsp.html

在每种情况下,您都需要父证书,除根证书外,您将拥有该证书。因此,除了可能硬编码之外,它还是非常独立的。 (您也可以通过AIA扩展URL下载根证书。)

作者:agl

相关问答

添加新评论