Java는 openssl을 사용하여 웹 사이트가 ocsp를 지원하는지 감지합니다.

이 기사에서는 java에 대한 관련 지식을 제공합니다. OCSP 온라인 인증서 상태 프로토콜은 일반적으로 CRL을 대체하기 위해 제안되었으며 OCSP는 최신 웹 서버에서도 사용됩니다. 모든 사람에게 도움이 되기를 바랍니다.

추천 연구: "java 비디오 튜토리얼"

OCSP 온라인 인증서 상태 프로토콜은 CRL을 대체하기 위해 제안되었습니다. 최신 웹 서버는 일반적으로 OCSP를 지원하며 OCSP는 최신 웹 서버의 표준이기도 합니다.

그러나 모든 웹 서버가 OCSP 스테이플링을 지원하는 것은 아닙니다. 그러나 실제 작업에서는 특정 웹사이트가 OCSP를 어느 정도 지원하는지 알아야 할 수도 있습니다.

OCSP 스테이플링을 지원하는 웹사이트

웹사이트가 OCSP 스테이플링을 지원하는지 어떻게 확인하나요?

가장 쉬운 방법은 타사 웹사이트에 접속하여 해당 웹사이트의 인증서 정보를 확인하는 것입니다. 예를 들어 이전에 entrust.ssllabs.com을 언급한 적이 있습니다. 해당 웹사이트 정보를 입력하면
프로토콜 세부정보 섹션에서 아래와 같이 해당 웹사이트가 OCSP 스테이플링을 지원하는지 여부에 대한 구체적인 정보를 확인할 수 있습니다. 이 웹사이트에 접속하시면 OCSP 스테이플링이 활성화되어 있는 것을 보실 수 있습니다. 그러나 실제로 전 세계 대부분의 웹사이트에서는 OCSP 스테이플링을 활성화하지 않습니다.

그렇다면 타사 웹사이트에서 OCSP 스테이플링을 확인하는 것 외에 다른 방법이 있나요?

사실, openssl 아티팩트를 사용하면 쉽게 이 작업을 수행할 수 있습니다. 물론, 이 웹사이트가 https를 지원한다는 전제가 있습니다.

다음에는 서버의 인증서 획득부터 서버가 OCSP 스테이플링을 지원하는지 확인까지의 전체 과정을 자세히 설명하겠습니다.

본 글에서 검증할 사이트는 마이크로소프트의 공식 사이트인 www.squarespace.com 이며, OCSP 스테이플링을 지원하는 사이트입니다.

서버 인증서 가져오기

서버가 OSCP를 지원하는지 확인하려면 먼저 서버 인증서를 가져와야 합니다. openssl에서 제공하는 s_client -connect를 사용하여 이 작업을 완료할 수 있습니다.

 openssl s_client -connect www.squarespace.com:443

이 명령은 접속할 웹사이트의 인증서 정보를 포함하여 연결 설정의 모든 내용을 출력합니다.

웹사이트의 인증서만 필요하기 때문에 ------BEGIN CERTIFICATE-----와 ------END CERTIFICATE------<를 넣어야 합니다. / 코드 사이에 내용을 저장하면 됩니다.>. <p></p>그런 다음 최종 명령은 다음과 같습니다. <p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:php;toolbar:false;'>openssl s_client -connect www.squarespace.com:443 | sed -n &amp;#39;/-----BEGIN/,/-----END/p&amp;#39; &gt; ca.pem</pre><div class="contentsignin">로그인 후 복사</div></div></p>여기서 sed -n 명령을 사용하여 <code>------BEGIN으로 시작하고 ----로 끝나는 출력을 가로챕니다. -END< /code> 끝에 있는 데이터입니다. <p><code>-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----之间的内容保存即可。

那么最终的命令如下：

openssl s_client -showcerts  -connect www.squarespace.com:443 | sed -n '/-----BEGIN/,/-----END/p' > chain.pem

这里我们使用一个sed -n命令从输出中截取以-----BEGIN开头和以-----END结尾的数据。

最终我们得到了网站的证书。

除了网站本身的证书之外，网站的证书本身是由其他的证书来签发的,这些证书叫做intermediate certificate，我们需要获取到整个证书链。

同样使用openssl的openssl s_client -showcerts命令可以获取所有的证书链：

openssl x509 -noout -ocsp_uri -in ca.pem

如果你打开chain.pem文件可以发现，文件里面有两个证书，最上面的一个就是服务器本身的证书，而第二个就是用于签名服务器证书的intermediate certificate。

获取OCSP responder地址

如果证书中包含有OCSP responder的地址，那么可以用下面的命令来获取：

openssl x509 -text -noout -in ca.pem

我们可以得到网站的ocsp responder地址是：http://ocsp.digicert.com드디어 웹사이트 인증서를 받았습니다.

웹사이트 자체의 인증서 외에도, 웹사이트 자체의 인증서도 다른 인증서로 서명됩니다. 이러한 인증서를 전체 인증서 체인을 획득해야 합니다.

또한 openssl의 openssl s_client -showcerts 명령을 사용하여 모든 인증서 체인을 얻습니다.

 Authority Information Access:
                OCSP - URI:http://ocsp.digicert.com
                CA Issuers - URI:http://cacerts.digicert.com/DigiCertTLSRSASHA2562020CA1-1.crt

chain.pem 파일을 열면 파일에 두 개의 인증서가 있는 것을 확인할 수 있습니다. 서버 자체의 인증서이고 두 번째는 서버 인증서에 서명하는 데 사용되는 중간 인증서입니다.

OCSP 응답자 주소 가져오기

인증서에 OCSP 응답자의 주소가 포함되어 있으면 다음 명령을 사용하여 이를 얻을 수 있습니다.

openssl ocsp -issuer chain.pem -cert ca.pem -text -url http://ocsp.digicert.com

웹사이트의 ocsp 응답자 주소를 가져올 수 있습니다: http:/ /ocsp.digicert.com.

ocsp 응답자의 주소를 얻는 또 다른 방법이 있습니다:

OCSP Request Data:
    Version: 1 (0x0)
    Requestor List:
        Certificate ID:
          Hash Algorithm: sha1
          Issuer Name Hash: 521EE36C478119A9CB03FAB74E57E1197AF1818B
          Issuer Key Hash: 09262CA9DCFF639140E75867E2083F74F6EAF165
          Serial Number: 120014F1EC2395D56FDCC4DCB700000014F1EC
    Request Extensions:
        OCSP Nonce:
            04102873CFC7831AB971F3FDFBFCF3953EC5

이 명령은 인증서의 모든 정보를 출력하며 다음 내용을 볼 수 있습니다:

OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
    Produced At: Apr 30 04:36:26 2022 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: E4E395A229D3D4C1C31FF0980C0B4EC0098AABD8
      Issuer Key Hash: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
      Serial Number: 0F21C13200AE502D52BBE8DFEAB0F807
    Cert Status: good
    This Update: Apr 30 04:21:01 2022 GMT
    Next Update: May  7 03:36:01 2022 GMT

여기서 OCSP - URI는 OCSP 응답자의 주소입니다. .

Send OCSP request

OCSP 응답자의 주소로 OCSP 확인을 수행할 수 있습니다. 이 명령에서는 서버의 인증서와 중간 인증서를 사용해야 합니다.

구체적인 요청 명령은 다음과 같습니다.

    This Update: Apr 30 04:21:01 2022 GMT
    Next Update: May  7 03:36:01 2022 GMT

출력에서 두 부분을 얻을 수 있습니다. 첫 번째 부분은 OCSP 요청 데이터인 OCSP 요청 데이터입니다.

Error querying OCSP responder
4346349100:error:27FFF072:OCSP routines:CRYPTO_internal:server response error:/AppleInternal/Library/BuildRoots/66382bca-8bca-11ec-aade-6613bcf0e2ee/Library/Caches/com.apple.xbs/Sources/libressl/libressl-2.8/crypto/ocsp/ocsp_ht.c:251:Code=400,Reason=Bad Request

요청 데이터에서 자세한 내용을 볼 수 있습니다. 발급자 콘텐츠 및 OCSP nonce를 포함한 OCSP 요청 데이터 구조입니다.

두 번째 부분은 응답 데이터입니다. 안타깝게도 다음과 같은 요청 오류 응답 데이터를 받았습니다.

openssl s_client -tlsextdebug -status -connect www.squarespace.com:443

위 반환 결과에서 Cert Status: good은 OCSP 요청이 성공했음을 의미합니다. OCSP 프로토콜.

다음 두 줄은 OCSP의 마지막 업데이트 시간과 다음 업데이트 시간입니다.

OCSP response:
======================================
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
    Produced At: Apr 27 04:36:26 2022 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: E4E395A229D3D4C1C31FF0980C0B4EC0098AABD8
      Issuer Key Hash: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
      Serial Number: 0F21C13200AE502D52BBE8DFEAB0F807
    Cert Status: good
    This Update: Apr 27 04:21:02 2022 GMT
    Next Update: May  4 03:36:02 2022 GMT

🎜 이 웹사이트가 OCSP 스테이플링도 지원함을 나타냅니다. 🎜🎜또한 일부 웹사이트의 OCSP URL을 요청할 때 다음과 같은 예외가 발생할 수 있습니다. 🎜rrreee🎜왜 이런가요? 🎜🎜이것은 ocsp.msocsp.com 웹사이트가 OCSP의 기본 HTTP 1.0 요청을 지원하지 않기 때문입니다. HTTP 1.0 요청에는 기본적으로 호스트 요청 헤더가 없습니다. 따라서 Host 요청 헤더를 추가한 다음 다시 실행해야 합니다. 🎜🎜더 간단한 방법🎜🎜위에서는 실제로 요청을 분할하여 단계별로 실행했습니다. openssl을 사용하여 다음과 같이 한 단계로 작업을 수행할 수도 있습니다. 🎜

openssl s_client -tlsextdebug -status -connect www.squarespace.com:443

从输出中，我们可以看到下面的数据：

OCSP response:
======================================
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
    Produced At: Apr 27 04:36:26 2022 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: E4E395A229D3D4C1C31FF0980C0B4EC0098AABD8
      Issuer Key Hash: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
      Serial Number: 0F21C13200AE502D52BBE8DFEAB0F807
    Cert Status: good
    This Update: Apr 27 04:21:02 2022 GMT
    Next Update: May  4 03:36:02 2022 GMT

上面的命令直接输出了OCSP response结果，从结果中我们很清楚的看到该网站是否支持OCSP和OCSP stapling。

推荐学习：《java视频教程》

위 내용은 Java는 openssl을 사용하여 웹 사이트가 ocsp를 지원하는지 감지합니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!