OCSP 阻止本地服务器的 SSL

Posted 2023-02-18

【中文标题】OCSP 阻止本地服务器的 SSL

【英文标题】：OCSP blocking SSL of the local server

【发布时间】：2021-11-15 16:23:58

【问题描述】：

我需要帮助找出为什么我的配置无法与需要 OCSP 的浏览器（例如 Firefox）一起使用。

我的服务器是可访问局域网的 Windows Tomcat7 服务器。它使用通配符证书设置（例如，对于 *.mydomain.com）。我使用私钥、签名证书和根 CA 包为 Tomcat 创建了 pkcs12 证书。

我的服务器地址是 192.168.X.X，并且我使用的是 system.mydomain.com 之类的域 - 除了启用了 OCSP 的 Firefox 之外，它适用于任何浏览器。对于大多数浏览器，或者如果我在 Firefox 中禁用 OCSP，它可以工作 - 证书有效，页面正在加载。否则我有“SEC_ERROR_REVOKED_CERTIFICATE”错误。

我的 Tomcat7 连接器如下所示：

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:/Tomcat7/keystore/file.p12" keystorePass="password" keystoreType="PKCS12"/>

我的问题是我错过了什么？不能将 OCSP 与本地服务器一起使用吗？它是否需要公共访问来验证或其他什么？还是我的 Tomcat 连接器配置遗漏了什么？

【参考方案1】：

配置没有问题。 Unizeto 为我们提供了不止一个证书。看起来没有区别，两者都是有效的，但我已经使用另一个重建密钥库，它就像一个魅力。

所以底线是它只是错误的证书（尽管有效它不能与 OSCP 一起使用）