/u/22486/jasonbrooks2.png?f=community)
Ik ben vandaag bezig geweest mijn nieuwe PKI op te tuigen en dat is tot nu toe aardig gelukt. Hij bestaat straks uit een root CA die offline staat op een virtuele machine en drie intermediate CA's (hebben elk een ander doel) die op een Jail in mijn NAS staan.
De root CA werkt met een CRL die ik elke 6 maanden (ja ik weet het, dat is niet bepaald best practice) handmatig ga updaten. Ik heb een internetdomein aangemaakt waar ik de CRL publiceer, ook dat gebeurt trouwens via de Jail van mijn NAS.
Voor de intermediate CA's heb ik andere plannen: ik wil gebruik gaan maken van OCSP. Op zich niet bijzonder moeilijk. Voor het draaien van een server heb je verschillende opties: openssl, maar veel beter is ocspd. Daar heb ik echter een vraagje over.
Ocspd is niet bepaald goed gedocumenteerd, maar de sample configuration is gelukkig vrij duidelijk. Ik heb drie intermediate CA's, maar ik wil maar één OCSP deamon/responder draaien. Ik wil namelijk ook gewoon één adres dat in al mijn certificaten komt.
In de sample configuratie staat dit uitgelegd. Met 0.ca = @intermediate_ca1 en daaronder een sectie met CA en CRL file locations kun je er zoveel definiëren als je wilt. Alleen de deamon moet zelf ook een certificate van de CA hebben gekregen om 'authoritive' te zijn en queries te mogen beantwoorden. Deze is weliswaar te vinden in de sample config, maar dan wel in het globale gedeelte en ik kan dat niet rijmen met het feit dat ik straks meerdere intermediate CA's ga uitserveren.
Dus de simpele vraag is: gaat het niet lukken omdat ik meerdere OCSP certificaten zou moeten hebben (en ontkom ik dus niet aan het draaien van meerdere deamons) of kan het wel gewoon? En in dat laatste geval, welke CA moet ik nou een OCSP certificaat laten maken?
De root CA werkt met een CRL die ik elke 6 maanden (ja ik weet het, dat is niet bepaald best practice) handmatig ga updaten. Ik heb een internetdomein aangemaakt waar ik de CRL publiceer, ook dat gebeurt trouwens via de Jail van mijn NAS.
Voor de intermediate CA's heb ik andere plannen: ik wil gebruik gaan maken van OCSP. Op zich niet bijzonder moeilijk. Voor het draaien van een server heb je verschillende opties: openssl, maar veel beter is ocspd. Daar heb ik echter een vraagje over.
Ocspd is niet bepaald goed gedocumenteerd, maar de sample configuration is gelukkig vrij duidelijk. Ik heb drie intermediate CA's, maar ik wil maar één OCSP deamon/responder draaien. Ik wil namelijk ook gewoon één adres dat in al mijn certificaten komt.
In de sample configuratie staat dit uitgelegd. Met 0.ca = @intermediate_ca1 en daaronder een sectie met CA en CRL file locations kun je er zoveel definiëren als je wilt. Alleen de deamon moet zelf ook een certificate van de CA hebben gekregen om 'authoritive' te zijn en queries te mogen beantwoorden. Deze is weliswaar te vinden in de sample config, maar dan wel in het globale gedeelte en ik kan dat niet rijmen met het feit dat ik straks meerdere intermediate CA's ga uitserveren.
Dus de simpele vraag is: gaat het niet lukken omdat ik meerdere OCSP certificaten zou moeten hebben (en ontkom ik dus niet aan het draaien van meerdere deamons) of kan het wel gewoon? En in dat laatste geval, welke CA moet ik nou een OCSP certificaat laten maken?
. Want dat ca_url certificaat kan maar door één van de drie gesigned zijn. 
.
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community)
.