Configuración de un respondedor mediante la CLI

En este ejemplo, hay una CA que puede estar fuera de línea y se configurará un respondedor OCSP usando la CLI que responde por esta CA.

Se debe instalar una instancia EJBCA básica en la que pueda usar comandos CLI (no se necesita CA) antes de realizar los siguientes pasos.

El orden de los eventos es el mismo que el flujo de trabajo anterior, con un paso adicional de importación del certificado de CA:

Importe el certificado CA (de OCSP_CA) como una CA externa en el respondedor OCSP.
Cree un token criptográfico y genere la clave de firma de los respondedores de OCSP.
Cree una vinculación de clave OCSP, que es la configuración del respondedor OCSP que responde a las consultas.
Genere una CSR para la vinculación de clave OCSP, envíe la CSR a la CA externa y obtenga un certificado de firmante OCSP firmado.
Importe el certificado de firmante OCSP y active la vinculación de claves OCSP.

Utilice los siguientes comandos y tenga en cuenta que la CA externa se llama OCSP_CA y tiene DN 'CN=OCSP_CA'.

 bin /ejbca .sh ca importcacert OCSP_CA /home/tomas/tmp/OCSP_CA .pem
 bin /ejbca .sh cryptotoken create OCSPCryptoToken foo123 true SoftCryptoToken true
 bin /ejbca .sh cryptotoken generatekey OCSPCryptoToken ocspsignkey RSA2048
 bin /ejbca .sh keybind create OCSP_CA_KeyBinding OcspKeyBinding DISABLED null OCSPCryptoToken ocspsignkey SHA256WithRSA -nonexistingisgood= false -includecertchain= true
 bin /ejbca .sh keybind gencsr OCSP_CA_KeyBinding csr.pem
 (send the csr to OCSP_CA and get signed certificate back)
 bin /ejbca .sh keybind import OCSP_CA_KeyBinding ocsp.pem
 bin /ejbca .sh keybind setstatus OCSP_CA_KeyBinding ACTIVE
 (now your OCSP key binding is active and can be used to sign OCSP queries)

Pruebe el respondedor consultando el estado del propio certificado de firmante de OCSP:

 openssl ocsp -issuer OCSP_CA.pem -CAfile OCSP_CA.pem -cert ocsp.pem -req_text -url http://localhost:8080/ejbca/publicweb/status/ocsp
 OCSP Request Data:
 Version: 1 (0x0)
 Requestor List:
 Certificate ID:
 Hash Algorithm: sha1
 Issuer Name Hash: E4A38A2DB963CAA8EEDFE4FBD396EE1E9B82FC19
 Issuer Key Hash: EF9C1460AEEF978FCFD30A3E7B1A2CE0BF36F9AB
 Serial Number: 054C3D7EA9E92EA5
 Request Extensions:
 OCSP Nonce:
 0410ED1DFBA35756BBBF033FABB4055166E0
 Response verify OK
 ocsp.pem: good
 This Update: Feb 5 12:58:43 2014 GMT

Obtener un certificado, recibido en archivo (qwe.pem), emitido por la OCSP_CA. Podemos enviar certificados, como una lista de permitidos, al respondedor de diversas maneras (es una base de datos normal). Sin embargo, antes de importarlo al respondedor de OCSP, podemos comprobar el estado, que debería ser desconocido (con la configuración actual) si no está presente en la base de datos de OCSP.

 openssl ocsp -issuer OCSP_CA.pem -CAfile OCSP_CA.pem -cert qwe.pem -req_text -url http://localhost:8080/ejbca/publicweb/status/ocsp
 OCSP Request Data:
 Version: 1 (0x0)
 Requestor List:
 Certificate ID:
 Hash Algorithm: sha1
 Issuer Name Hash: E4A38A2DB963CAA8EEDFE4FBD396EE1E9B82FC19
 Issuer Key Hash: EF9C1460AEEF978FCFD30A3E7B1A2CE0BF36F9AB
 Serial Number: 5033A405556C4C26
 Request Extensions:
 OCSP Nonce:
 0410CF2AA349C1EAF562650CE38FC9AD75B7
 Response verify OK
 qwe.pem: unknown
 This Update: Feb 5 13:00:51 2014 GMT