証明書の外部の信頼できるリストに表示される証明書に対してRFC3161タイムスタンプトークンを検証しようとしているので、検証はそこで停止します。完全な証明書チェーンに対して検証する必要はありません。
openssl ts -verify
CAfileまたはCApathのいずれかにCA証明書が必要です。証明書とに対するトークンを検証する方法がある何よりの?
openssl ts
中アプリ1.0.2
ブランチは、証明書の検証プロセスに影響を与えるオプションを制限しています。そのバージョンを使用すると、アプリのコードを変更したり、独自のソリューションをコーディングしたりせずに、探しているものを達成することは不可能のようです。
1.1.0
ただし、OpenSSLのブランチでは、証明書の検証を行うアプリの構成実装が統合され、一貫性が保たれています。-の概要の下部にあるオプションを確認参照1.1.0ドキュメントというこの手段その枝に他の検証のアプリケーションがそうであるように、証明書の検証のための同様の構成オプションがあります。特に、このコメントで言及されているオプションは便利です。ts
openssl ts
-partial_chain
あなたと同じように見える状況をテストすると、次のことがうまくいきました(TSA_cert.pem
署名者の証明書のみが含まれ、チェーンは含まれていません)。
$ openssl ts -verify -in response.tsr -data myFile.txt -CAfile TSA_cert.pem -partial_chain
Verification: OK
同じ応答ファイルを確認しますが、3バイトが変更されています。
$ openssl ts -verify -in response_corrupted.tsr -data myFile.txt -CAfile TSA_cert.pem -partial_chain
Verification: FAILED
140450542175232:error:21071065:PKCS7 routines:PKCS7_signatureVerify:digest failure:crypto/pkcs7/pk7_doit.c:1007:
140450542175232:error:2F06A06D:time stamp routines:TS_RESP_verify_signature:signature failure:crypto/ts/ts_rsp_verify.c:143:
ただし、次のバグが発生したため、1.1.1
プレリリースにアップグレードする必要がありました。エラー#2F067065-タイムスタンプ応答の検証時に「esssigningcertificateerror」1.1.0
。修正はに含まれていません。
この記事はインターネットから収集されたものであり、転載の際にはソースを示してください。
侵害の場合は、連絡してください[email protected]
コメントを追加