OpenSSL

OCSP-Endpoint mit OpenSSL

In einem aktu­el­len Projekt nut­zen wir eine eigene kleine CA auf Basis von OpenSSL, um Zertifikate für Entwicklungs- und Testumgebungen aus­zu­stel­len. Zertifikate sol­len jetzt per CRL und OCSP vali­diert wer­den. CRLs las­sen sich mit dem Kommando openssl ca -gen­crl … gene­rie­ren und dann an die Clients ver­tei­len. OCSP ist ein akti­ves Protokoll und benö­tigt dafür einen Server und einen passenden…

Extraktion der Zertifikatskette mit OpenSSL

Es kommt gele­gent­lich vor, dass bei Serveranwendungen die SSL-Zertifikate aus­ge­tauscht wer­den. Insbesondere bei einem gleich­zei­ti­gen Austausch von CA-Zertifikaten (weil z.B. eine neue Sub-CA für die Signierung neuer Zertifikate ver­wen­det wird) kann es dabei dazu kom­men, dass eine Applikation, die als Client auf die Serveranwendung zugreift die Vertrauenskette des Serverzertifikates nicht mehr prü­fen kann und dann z.B. in Java mit einer SSLHandShakeException aus­steigt. Um hier Abhilfe zu schaf­fen, benö­tigt man die CA-Zertifikate, die bei SSL-Handshakes mit­ge­schickt wer­den. Um diese zu extra­hie­ren bie­tet sich das Tool s_client der openssl-Bibliothek an.