数字证书OCSP查询响应内容实例分析

最新推荐文章于 2024-06-28 17:45:07 发布
最新推荐文章于 2024-06-28 17:45:07 发布
阅读量936 收藏 20
点赞数 23
分类专栏: # 密码基础 # 密评实践 # 密码应用安全性评估 文章标签: 安全 密码测评
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ryanzzzzz/article/details/139954165
版权

查询序列号为1a100000000000077bb3证书状态正常。

CA返回结果base64编码:

MIIDVAoBAKCCA00wggNJBgkrBgEFBQcwAQEEggM6MIIDNjCBsaIWBBSDjElBbyMNnQGX2szskGIksemLgxgPMjAyNDA2MjUwMTQ3MDhaMG0wazBDMAkGBSsOAwIaBQAEFPlqT9OhW4oRiUMHI5zjLpTICveDBBQ7tzM6XYrLOqbGMk+5RBXJFdN4sQIKGhAAAAAAAAd7s4AAGA8yMDI0MDYyNTAxNDcwOFqgERgPMjAyNDA2MjYwMTQ3MDhaoRcwFTATBgkrBgEFBQcwAQIEBgGQTRNM9jAKBggqgRzPVQGDdQNIADBFAiEAvyO4wyZZLD3fEIGBTxdEKr5s+Tn3YOxP7lk3xrNi0nkCIBcdygqVnOzbuwF1SwM8hV9atv9XiGurEiNJ9JYtZ+ANoIICKDCCAiQwggIgMIIBxaADAgECAgwxAGAMY03iICJSEAAwDAYIKoEcz1UBg3UFADBEMQswCQYDVQQGEwJDTjENMAsGA1UECgwEQkpDQTENMAsGA1UECwwEQkpDQTEXMBUGA1UEAwwOQmVpamluZyBTTTIgQ0EwHhcNMjIwMjIzMTYwMDAwWhcNMzIwMjIzMTU1OTU5WjBtMQswCQYDVQQGEwJDTjEQMA4GA1UECAwHQmVpSmluZzEQMA4GA1UEBwwHQmVpSmluZzENMAsGA1UECgwEQkpDQTENMAsGA1UECwwEQkpDQTEcMBoGA1UEAwwTQmVpamluZyBTTTIgQ0EgT0NTUDBZMBMGByqGSM49AgEGCCqBHM9VAYItA0IABF6E/ushcrKjqCZygW/PpU73ZG1Ra72yN9ZFozwlIVNEO7O42KHR0aO8nyHGOwaCrwFdkI59Z9wcNTElBjfiUkujcjBwMA4GA1UdDwEB/wQEAwIGwDAJBgNVHRMEAjAAMBMGA1UdJQQMMAoGCCsGAQUFBwMJMB0GA1UdDgQWBBSDjElBbyMNnQGX2szskGIksemLgzAfBgNVHSMEGDAWgBQf5s/Uj8UiKpdKKYoV5xbJkjTEtjAMBggqgRzPVQGDdQUAA0cAMEQCIBhvkB+NR4ex9KB/QsqhOc5mrRvHaHwh99dJxcZpt+fUAiBqJrIA+IcDmLNUwqttbz2ukRMqdn0hUelTmvInsESIsg==

ASN1查看:

ENUMERATED:reponseStatus响应状态,这里为0(successful)。具体状态码定义如下

OCSPResponseStatus ::= ENUMERATED {

       successful            (0),  -- Response has valid confirmations

       malformedRequest      (1),  -- Illegal confirmation request

       internalError         (2),  -- Internal error in issuer

       tryLater              (3),  -- Try again later

                                   -- (4) is not used

       sigRequired           (5),  -- Must sign the request

       unauthorized          (6)   -- Request unauthorized

   }

OBJECT IDENTIFIER:responseType,这里值为1.3.6.1.5.5.7.48.1.1(OCSP),含义如下

{iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) ad(48) ocsp(1) basic-response(1)}

OCTET STRING:response,是basicOCSPResponse对象的DER编码,具体定义如下

BasicOCSPResponse       ::= SEQUENCE {

      tbsResponseData      ResponseData,

      signatureAlgorithm   AlgorithmIdentifier,

      signature            BIT STRING,

      certs            [0] EXPLICIT SEQUENCE OF Certificate OPTIONAL }

因此,可以将OCTET STRING这部分内容截取出来,再单独分析。

截取内容如下:

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

ASN1查看:

可以看到第一个SEQUENCE对应是ResponseData,逐层定义为

ResponseData::=SEQUENCE{

version[0] EXPLICITVersionDEFAULTv1,

responderID ResponderID,

producedAt GeneralizedTime,

responsesSEQUENCEOF SingleResponse,

responseExtensions[1] EXPLICITExtensions OPTIONAL }

SingleResponse::=SEQUENCE{

certID CertID,

certStatus CertStatus,

thisUpdate GeneralizedTime,

nextUpdate [0]EXPLICITGeneralizedTimeOPTIONAL,

singleExtensions [1]EXPLICITExtensionsOPTIONAL }

CertStatus::=CHOICE{

good[0]IMPLICITNULL,

revoked[1]IMPLICITRevokedInfo,

unknown[2]IMPLICITUnknownInfo}

具体地,

responderID,838c4941......

producedAt, 20240625014708Z

certID,1a100000000000077bb3

certStatus,0

......(可以下载数据打开来看,不一一列举了)

签名算法标识1.2.156.10197.1.501 sm2withsm3

BIT STRING内容为签名

3045022100bf23b8c326592c3ddf1081814f17442abe6cf939f760ec4fee5937c6b362d2790220171dca0a959cecdbbb01754b033c855f5ab6ff57886bab122349f4962d67e00d

最后部分为签名证书

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

游鲦亭长
关注
  • 23
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
纯Java实现数字证书生成签名的简单实例
09-01
这个实例提供了创建自签名证书的基础,但在实际应用中,通常需要更复杂的流程,包括用户身份验证、CRL(证书吊销列表)检查、OCSP(在线证书状态协议)查询等。理解这些概念对于开发安全的网络服务和应用程序至关...
OCSPChecker:OCSP-Checker提供了一种自动方法来检查x509数字证书OCSP吊销状态。
05-14
OCSP-Checker旨在通过提供一种自动方法来检查x509数字证书的吊销状态来解决此问题。 先决条件 Python -Python 3.7(64位)及更高版本。 安装 pip install ocsp-checker 用法 >>> from ocspchecker import ...
CA和数字证书
milanac007的专栏
01-31 4597
Certificate Authority,简称CA,是数字证书认证中心的简称,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。 CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。 CA证书的内容主要包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签名和有效期等等。目前,证书的格式和验证方法普遍遵循X.509 国际标准。数字证书在用户公钥后附加了用户信息及CA的签名。 使用
数字证书的相关专业名词(下)---OCSP及其java中的应用,2024年最新面试考场一般由什么组成
2401_84412011的博客
04-21 1022
大型分布式系统犹如一个生命,系统中各个服务犹如骨骼,其中的数据犹如血液,而Kafka犹如经络,串联整个系统。这份Kafka源码笔记通过大量的设计图展示、代码分析、示例分享,把Kafka的实现脉络展示在读者面前,帮助读者更好地研读Kafka代码。麻烦帮忙转发一下这篇文章+关注我网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注Java)
OCSP协议抓包分析
qq_36319965的博客
10-07 758
通过代码实现OCSP功能,然后抓包进行OCSP协议分析
Apache服务器访问过慢分析及解决
热门推荐
经验在于积累而不在于年限---dreamboycx
08-04 2万+
起因:线上的一台服务器,最近总是出现 访问 很慢的情况发生,点击一个链接要2秒钟以上才能打开,按照我们对于访问人数的估计,服务器应该不至于响应这么慢,从而需要针对这个问题进行分析,来解决网站访问过慢。 分析: 1、首先,在页面访问变慢情况发生时,使用 top 命令查看了服务器的负载情况,发现负载并不高,初步估计不是程序的问题。  2、然后,查看了线程中的 httpd 的数量, ps -aux
v3_ocsp.rar_ocsp
09-24
OCSP extensions and a couple of CRL entry extensions.
OCSP-Verifier:基于OCSP响应器字段的Bash脚本,用于验证服务器的证书状态
03-07
OCSP验证者基于OCSP响应者字段的Bash脚本,用于验证服务器的证书状态。 该脚本连接到目标URL,并检索服务器提供的证书链。 然后,它将链拆分为单独的证书,并在证书包含此类信息的情况下继续检索OCSP响应者URL。 ...
在线证书状态协议-OCSP
11-26
在线证书状态协议(Online Certificate Status Protocol,简称OCSP)是一种基于Internet的协议,用于查询数字证书的状态。在网络安全中,特别是在公钥基础设施(PKI)中,OCSP扮演着至关重要的角色,它允许验证者...
云计算【第一阶段(23)】Linux系统安全及应用
最新发布
YCyjs的博客
06-28 388
如果需要每个用户登出时都清除输入的命令历史记录,可以在/etc/skel/.bash_logout文件中添加下面这行rm -f $HOME/.bash_history。实现过程如下:将授权使用 su 命令 的用户添加到 wheel 组,修改/etc/pam.d/su 认证配置以启用 pam_wheel 认证。d、如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令。在/etc/pam.d/su文件里设置禁止用户使用su命令。
SHA256 安全散列算法加速器实验
weixin_64593595的博客
06-22 1210
SHA256 加速器是用来计算 SHA-256 的计算单元,SHA256 是 SHA-2 下细分出的一种算法。 SHA-2 名称来自于安全散列算法 2(英语:Secure Hash Algorithm 2)的缩写,一种密码散列函 数算法标准,由美国国家安全局研发,由美国国家标准与技术研究院(NIST)在 2001 年发布。 属于 SHA 算法之一,是 SHA-1 的后继者。其下又可再分为六个不同的算法标准,包括了: SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SH
港口危险货物安全管理人员考试题库(含答案)
m0_66937659的博客
06-28 234
9.《消防法》第四十条规定:公众聚集的场所未经消防安全检查或者经检查不合格,擅自使用或者开业的,责令限期改正逾期不改正的,责令停止施工、停止使用或者停产停业( )。11.机关、团体、企业、事业等单位以及村民委员会,居民委员会根据需要,建立志愿消防队等多种形式的( ),开展群众性自防自救工作。B、安全生产管理制度和操作规程的完善有效性,事故应急预案的科学性、可操作性、有效性。D、安全生产管理制度和操作规程的完善有效性,事故应急预案的针对性、可操作性、有效性。4.液化石油气属于( )。
人工智能给文化安全带来挑战
yzf060109的专栏
06-28 401
算法是自动学习、自动决策的技术,但这并不意味着算法是“技术中立”的,算法的使用者、运营者赋予一定的目标从而发挥其效用。由于“信息茧房”中的信息是同质化的,人们的思维和观点也会变得封闭和单一。通过模仿名人或权威人士的言论和行为,“深度伪造”技术不仅可能损害他们的名誉,还能捏造出从未发生过的事件或情境,造成公众对实际发生事件的误解,并可能引发诽谤、欺诈和社会恐慌等一系列问题。由于算法技术的复杂性和专业性,加之公共权力机构在授权和监管上的不足,以及当前对于算法治理手段的相对落后,这种算法驱动的权力正在迅速扩张。
内容安全复习 8 - 视觉内容伪造与检测
infinity_heaven的博客
06-22 1126
人脸检测。
自主可控的芯片设计供应链软件:保障芯片产业安全的关键
YouyuanXway的博客
06-27 345
在当前的科技浪潮中,芯片作为信息技术的核心,其设计、制造和供应链的安全性和自主可控性显得尤为重要。而自主可控的芯片设计供应链软件,正是保障这一产业链安全的关键环节。
Java中的加密与解密:实现安全的数据传输
java666668888的博客
06-23 504
大家好,我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!在当今信息安全至关重要的时代,保护数据的安全性是每个开发人员都需要关注的重要议题。本文将深入探讨Java中的加密与解密技术,帮助你实现安全的数据传输。
等保2.0对云计算有哪些特定的安全要求?
2301_79955948的博客
06-28 685
云平台需要提供一系列安全防护措施,包括物理隔离、电力保障、外来人员访问控制、火灾检测、视频监控等。:包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理等,确保在运维过程中维持系统的安全状态。:包括定级和备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商管理等,确保在建设过程中符合等保2.0的要求。
访问外网的安全保障——反向沙箱
Canon_YK的博客
06-21 362
目前许多安全厂家因为使用的需求,进而研制出反向沙盒,其中深信达SPN(Sandbox Proxy Network)安全上网解决方案,是直接把终端传统外网物理断开,然后在内网中部署一个沙盒安全上网网关主机,在需要访问外网的终端上安装一个沙盒,当需要访问互联网的时候,在这个隔离沙盒内访问互联网。然而,需要注意的是,虽然反向沙箱为我们提供了强大的网络安全防护能力,但它并非万能的解决方案。由此可见,反向沙箱的运行逻辑是和正常的沙箱是相反的,只能通过沙盒的安全空间以及网关上的设置使得上外网只能通过改途径。
bouncycastle ocsp
11-16
Bouncy Castle OCSP是一个开源的用于在线证书状态协议(OCSP)的实现库。OCSP是一种用于验证数字证书有效性的协议,通过查询证书颁发机构(CA)的OCSP服务器来获取证书的最新状态信息。 Bouncy Castle OCSP库提供了一套API,使开发人员能够轻松地集成OCSP验证功能到他们的应用程序中。这个库支持从OCSP服务器获取证书状态、验证OCSP响应的签名、校验证书的合法性等功能。 利用Bouncy Castle OCSP库,开发人员可以实现以下功能: 1. 验证证书:通过发送OCSP请求到OCSP服务器来验证证书的状态,确保证书未被吊销。 2. 发送OCSP请求:使用Bouncy Castle OCSP库,可以构建和发送OCSP请求到指定的OCSP服务器。 3. 解析OCSP响应:对从OCSP服务器接收到的OCSP响应进行解析,提取其中的状态信息和各种相关字段。 4. 验证OCSP响应:通过验证OCSP响应中的签名和摘要等信息来确保响应的完整性和真实性。 5. 缓存OCSP响应:为了提高性能和减少网络请求,Bouncy Castle OCSP库支持缓存OCSP响应,以便重复查询时可以快速返回结果。 总之,Bouncy Castle OCSP是一个功能强大的OCSP实现库,它为开发人员提供了一种简单方便的方式来实现并集成OCSP验证功能,确保证书的有效性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

游鲦亭长

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值