https://kuutorvaja.eenet.ee/w/index.php?action=history&feed=atom&title=OCSP_PHP_kontroll 2026-04-17T19:46:45Z Selle lehekülje redigeerimiste ajalugu MediaWiki 1.43.6 https://kuutorvaja.eenet.ee/w/index.php?title=OCSP_PHP_kontroll&diff=30910&oldid=prev 2020-01-06T14:13:47Z

<p>Uus lehekülg: &#039;= OCSP päringu tegemine käsurealt = Aluseks on võetud PHP näidisrakendus lehelt https://www.id.ee/index.php?id=30338 Veebiserver peaks olema juba seadistatud, et see saaks I...&#039;</p> <p><b>Uus lehekülg</b></p><div>= OCSP päringu tegemine käsurealt =<br /> Aluseks on võetud PHP näidisrakendus lehelt https://www.id.ee/index.php?id=30338<br /> <br /> Veebiserver peaks olema juba seadistatud, et see saaks ID-kaardilt sertifikaati lugeda.<br /> <br /> == Lae sertifikaat üles SK demokeskkonda ==<br /> Teenuse testimiseks tuleb ID-kaardi sertifikaat üles laadida lehel https://demo.sk.ee/upload_cert/index.php<br /> Seal saad ka valida oma sertifikaadile sobiva oleku (GOOD, REVOKED, ...).<br /> <br /> == PHP muutuja ==<br /> See, kuidas PHP rakendus sertifikaadi kätte saab erineb sellest, kuidas näidatakse sertifikaati ID-kaardi haldusvahendis, mistõttu on üleslaadimiseks vaja võtta sertifikaat PHP muutujast<br /> $_SERVER[&quot;SSL_CLIENT_CERT&quot;]<br /> <br /> Sama sertifikaat tuleb käsitsi testimiseks salvestada ajutiselt faili, nt. nimega<br /> idcert<br /> <br /> == Lae alla CA sertifikaadid ja OCSP responderi sertifikaat ==<br /> <br /> Tuleb alla laadida ID-kaardi CA sertifikaadid ja responder sertifikaadid lehelt https://www.skidsolutions.eu/repositoorium/sk-sertifikaadid/<br /> <br /> Eraldusnime veerus on sertifikaadi väljastaja, samuti nagu on ID-kaardi haldusvahendis näha sertikaadil väljastaja.<br /> <br /> OCSP test teenuse kasutamiseks on vaja alla laadida ka TEST responder sertifikaat/sertifikaadid vastavalt väljastajale.<br /> <br /> Edasi läheb see juhend näidisrakendusest natuke kõrvale selle poolest, et seal &#039;&#039;OCSP_SERVER_CERT_FILE&#039;&#039; (responder cert) iga väljastaja jaoks eraldi, aga siin juhendis paneme kõik responder sertifikaadid ühte faili<br /> <br /> Responder sertifikaatide ühte faili tõstmiseks saab kasutada näiteks `cat` tööriista. Oletame, et kõik responder sertifikaadid on kataloogis &#039;&#039;responder-certs&#039;&#039; ja kõik CA sertifikaadid on kataloogis &#039;&#039;certs&#039;&#039;<br /> <br /> cat responder-certs/* &gt; certs/responders.id<br /> <br /> Veendu, et reavahetused oleks õiged ja et kõik -----BEGIN CERTIFICATE----- ja -----END CERTIFICATE----- kirjed algaks uuel real.<br /> <br /> == OCSP kontroll ==<br /> <br /> Nüüd saab proovida, kas konsoolis OCSP töötab. Oletame, et sertifikaadi väljastaja on &#039;&#039;&#039;ESTEID-SK 2015&#039;&#039;&#039;<br /> <br /> /usr/bin/openssl ocsp -issuer certs/ESTEID-SK_2015.pem.crt -cert idcert -url http://demo.sk.ee/ocsp -VAfile certs/responders.id<br /> <br /> Kui see annab vastuseks näiteks<br /> <br /> Response verify OK <br /> idcert: good<br /> <br /> Siis järelikult sertifikaat on valideeritud.<br /> Kui vastuses tuleb näiteks &#039;&#039;idcert: unknown&#039;&#039;&#039;, siis tõenäoliselt on `-issuer` seatud vale CA sertifikaat.<br /> <br /> Kui kõik läks hästi, tuleb ülevaltoodud päring PHP rakendusse ümber kirjutada. Siin tuleb jälle abiks näidisrakendus.</div>

Aus