亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Java怎么使用openssl檢測網站是否支持ocsp

發布時間:2022-09-15 15:33:04 來源:億速云 閱讀:157 作者:iii 欄目:編程語言

這篇文章主要講解了“Java怎么使用openssl檢測網站是否支持ocsp”,文中的講解內容簡單清晰,易于學習與理解,下面請大家跟著小編的思路慢慢深入,一起來研究和學習“Java怎么使用openssl檢測網站是否支持ocsp”吧!

OCSP在線證書狀態協議是為了替換CRL而提出來的。對于現代web服務器來說一般都是支持OCSP的,OCSP也是現代web服務器的標配。

但是OCSP stapling卻不是所有的web服務器都支持。但是現實工作中我們可能需要知道具體某個網站對OCSP的支持程度。

支持OCSP stapling的網站

怎么判斷一個web站點是否支持OCSP stapling呢?

最簡單的方法就是去第三方網站查看網站的證書信息。比如我們之前提到過的entrust.ssllabs.com,通過輸入對應的網站信息,在
Protocol Details一節中,可以找到網站是否支持OCSP stapling的具體信息,如下所示:

Java怎么使用openssl檢測網站是否支持ocsp

可以看到這個網站是開啟了OCSP stapling的。但是事實上這個世界上的絕大部分網站是沒有開啟OCSP stapling的。

那么除了在第三方網站上查看OCSP stapling之外,還有沒有其他辦法呢?

事實上我們可以使用openssl神器輕松的做到這一點。當然前提是這個網站支持https。

獲取服務器的證書

要校驗服務器是否支持OSCP,我們首先需要獲取到這個服務器的證書,可以用openssl提供的 openssl s_client -connect來完成這個工作。

 openssl s_client -connect www.squarespace.com:443

這個命令會輸出建立連接的所有內容,其中包含了要訪問網站的證書信息。

因為我們只需要網站的證書,所以需要把-----BEGIN CERTIFICATE----------END CERTIFICATE-----之間的內容保存即可。

那么最終的命令如下:

openssl s_client -connect www.squarespace.com:443 | sed -n '/-----BEGIN/,/-----END/p' > ca.pem

這里我們使用一個sed -n命令從輸出中截取以-----BEGIN開頭和以-----END結尾的數據。

最終我們得到了網站的證書。

除了網站本身的證書之外,網站的證書本身是由其他的證書來簽發的,這些證書叫做intermediate certificate,我們需要獲取到整個證書鏈。

同樣使用openssl的openssl s_client -showcerts命令可以獲取所有的證書鏈:

openssl s_client -showcerts  -connect www.squarespace.com:443 | sed -n '/-----BEGIN/,/-----END/p' > chain.pem

如果你打開chain.pem文件可以發現,文件里面有兩個證書,最上面的一個就是服務器本身的證書,而第二個就是用于簽名服務器證書的intermediate certificate。

獲取OCSP responder地址

如果證書中包含有OCSP responder的地址,那么可以用下面的命令來獲取:

openssl x509 -noout -ocsp_uri -in ca.pem

我們可以得到網站的ocsp responder地址是:http://ocsp.digicert.com

還有一種方法可以獲得ocsp responder的地址:

openssl x509 -text -noout -in ca.pem

這個命令會輸出證書的所有信息,我們可以看到下面的內容:

 Authority Information Access:
                OCSP - URI:http://ocsp.digicert.com
                CA Issuers - URI:http://cacerts.digicert.com/DigiCertTLSRSASHA2562020CA1-1.crt

其中OCSP - URI就是OCSP responder的地址。

發送OCSP請求

有了OCSP responder的地址,我們就可以進行OCSP驗證,在這個命令中我們需要用到服務器的證書和intermediate證書。

具體的請求命令如下:

openssl ocsp -issuer chain.pem -cert ca.pem -text -url http://ocsp.digicert.com

從輸出中我們可以得到兩部分,第一部分是OCSP Request Data,也就是OCSP請求數據:

OCSP Request Data:
    Version: 1 (0x0)
    Requestor List:
        Certificate ID:
          Hash Algorithm: sha1
          Issuer Name Hash: 521EE36C478119A9CB03FAB74E57E1197AF1818B
          Issuer Key Hash: 09262CA9DCFF639140E75867E2083F74F6EAF165
          Serial Number: 120014F1EC2395D56FDCC4DCB700000014F1EC
    Request Extensions:
        OCSP Nonce:
            04102873CFC7831AB971F3FDFBFCF3953EC5

從請求數據中,我們可以看到詳細的OCSP請求數據結構,包括issuer的內容和OCSP nonce。

第二部分是響應數據,很遺憾我們得到了下面的請求錯誤響應數據:

OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
    Produced At: Apr 30 04:36:26 2022 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: E4E395A229D3D4C1C31FF0980C0B4EC0098AABD8
      Issuer Key Hash: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
      Serial Number: 0F21C13200AE502D52BBE8DFEAB0F807
    Cert Status: good
    This Update: Apr 30 04:21:01 2022 GMT
    Next Update: May  7 03:36:01 2022 GMT

上面返回結果中,Cert Status: good表示的是OCSP請求成功了,這個網站是一個支持OCSP協議的網站。

后面的兩行是OCSP上次更新的時間和下次更新的時間:

    This Update: Apr 30 04:21:01 2022 GMT
    Next Update: May  7 03:36:01 2022 GMT

說明這個網站還支持OCSP stapling。

另外,請求某些網站的OCSP url的時候可能會得到下面的異常:

Error querying OCSP responder
4346349100:error:27FFF072:OCSP routines:CRYPTO_internal:server response error:/AppleInternal/Library/BuildRoots/66382bca-8bca-11ec-aade-6613bcf0e2ee/Library/Caches/com.apple.xbs/Sources/libressl/libressl-2.8/crypto/ocsp/ocsp_ht.c:251:Code=400,Reason=Bad Request

為什么會這樣呢?

這是因為ocsp.msocsp.com這個網站不支持OCSP默認的HTTP 1.0請求,在HTTP 1.0請求中默認是沒有Host這個請求頭的。所以我們需要添加上Host請求頭,然后再執行一次即可。

一個更加簡單的方法

以上我們實際上是將請求拆開來一步步執行的。我們還可以使用openssl一步執行任務如下:

openssl s_client -tlsextdebug -status -connect www.squarespace.com:443

從輸出中,我們可以看到下面的數據:

OCSP response:
======================================
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
    Produced At: Apr 27 04:36:26 2022 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: E4E395A229D3D4C1C31FF0980C0B4EC0098AABD8
      Issuer Key Hash: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
      Serial Number: 0F21C13200AE502D52BBE8DFEAB0F807
    Cert Status: good
    This Update: Apr 27 04:21:02 2022 GMT
    Next Update: May  4 03:36:02 2022 GMT

上面的命令直接輸出了OCSP response結果,從結果中我們很清楚的看到該網站是否支持OCSP和OCSP stapling。

感謝各位的閱讀,以上就是“Java怎么使用openssl檢測網站是否支持ocsp”的內容了,經過本文的學習后,相信大家對Java怎么使用openssl檢測網站是否支持ocsp這一問題有了更深刻的體會,具體使用情況還需要大家實踐驗證。這里是億速云,小編將為大家推送更多相關知識點的文章,歡迎關注!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

合江县| 蓝田县| 绥宁县| 永寿县| 石门县| 鄂托克前旗| 建昌县| 安多县| 五原县| 织金县| 应用必备| 巧家县| 伊金霍洛旗| 米林县| 交口县| 大田县| 工布江达县| 唐山市| 平原县| 晋江市| 南平市| 北宁市| 客服| 博客| 绥德县| 陆良县| 长垣县| 克什克腾旗| 闵行区| 三原县| 云梦县| 唐山市| 玉林市| 芮城县| 桐梓县| 鹤壁市| 新源县| 遂平县| 千阳县| 南通市| 璧山县|