用GET方法检查Linux上的OCSP

Question

我想从Linux验证Microsoft服务器的操作。我试过使用OpenSSL，但它总是返回：

Error querying OCSP responder 140643157128320:error:27076072:OCSP routines:parse_http_line1:server response error:../crypto/ocsp/ocsp_ht.c:260:Code=405,Reason=Method Not Allowed

我查看了服务器端，并注意到OpenSSL使用POST方法，而不是certutil使用的GET方法(它工作得很好)：

# certutil Request
2021-09-28 10:26:51 10.11.12.13 GET /ocsp/<OCSP request> - 80 - 10.11.12.14 Microsoft-CryptoAPI/10.0 - 200 0 0 4583
# OpenSSL Request
2021-09-28 10:26:51 10.11.12.13 POST / - 80 - 10.11.12.15 - - 405 0 1 5991

似乎OpenSSL不能被迫使用GET而不是post，但是也许还有其他的实用工具吗？

或者反过来说，是否有一种方法可以强迫MS OCSP响应者也与POST一起工作？

Answer 1

您需要将-no_nonce选项添加到OpenSSL。

Microsoft OCSP服务器不支持当前请求。