如何解决如何使OpenSSL OCSP响应器忙
我是ssl环境的新手,请多多包涵。
我所知道的信息放在这里。
通过阅读openssl OCSP的不同页面
- https://raymii.org/s/articles/OpenSSL_Manually_Verify_a_certificate_against_an_OCSP.html
- https://akshayranganath.github.io/OCSP-Validation-With-Openssl/
- https://www.openssl.org/docs/man1.0.2/man1/ocsp.html
通过了解本文https://stackoverflow.com/a/40877330/358458,我成功地为一个发行人启动了服务器。
请注意,一个进程使用一个“数据库”文件并支持一个 发行人。如果您需要多个发行人,则可以运行多个 机器上不同端口和/或不同地址上的进程 有多个地址。
我有两个基本问题,请纠正我这些问题无效。
- 多个发行人的OCSP响应者是否相同?如果是这样,如何使OCSP响应者忙?
- 如果不是如何使发行者的响应者变得忙碌?使用任何脚本或更多请求?
解决方法
我不明白“忙”。如果您要执行拒绝服务攻击,请查看其他地方。
确实,openssl ocsp
每次启动仅支持 一个 发行者,或在您的情况下支持端口。此外,它一次只支持一个在所述端口上的请求。 openssl ocsp
仅设计为示例/参考/测试响应器,而不是生产 OCSP 响应服务器。然而,有办法解决这个问题;
- 使用不同的 OCSP 响应服务器程序(最简单)
- 使用
openssl ocsp -multi
参数启动一个线程化 OCSP 响应程序,该响应程序能够处理多个并发请求(仍然,每个实例只有一个颁发者) - 使用
-reqin
中详述的-respout
和man ocsp
参数来处理文件系统上的请求,而不是启动完整的响应程序。有了这个,您可以使用 http 服务器、CGI 和脚本来解析 OCSP 请求的颁发者哈希字段,以定制您的配置和对特定颁发者的响应,所有这些都来自一个地址/位置。这就是我所做的,这不是野餐,但如果需要,您可以通过这种方式实现生产负载和可用性。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。