[OpenSSL] OCSP 와 TSP 명령어

OCSP 는 RFC2560 에서 정의 된 Online Certificate Status Protocol 의 약자이다.
TSP 는 RFC3161 에서 정의 된 Time Stamp Protocol 의 약자이다.

OpenSSL 에서 인증서 상태 정보 프로토콜인 OCSP 관련 메뉴얼
https://www.openssl.org/docs/man3.0/man1/openssl-ocsp.html

타임스탬프 관련 메뉴얼
https://www.openssl.org/docs/man3.0/man1/openssl-ts.html

OCSP ( Online Certificate Status Protocol )

OCSP Request 생성

openssl ocsp -issuer ECDSA_CA.crt -cert CMS_Signer.crt -reqout ocsp-req.ber

OCSP 인증서 검증

위에서 생성한 ocsp-req.ber 파일을 읽어서 -url 로 지정된 OCSP 서버에게 검증 요청

openssl ocsp -reqin ocsp-req.ber -text -url http://ocsp.test.com:8080/ocsp

검증할 인증서를 읽어서 검증 요청

openssl ocsp -issuer ECDSA_CA.crt -cert CMS_Signer.crt  -text -url http://ocsp.test.com:8080/ocsp

OCSP Reuqest 정보 보기

openssl ocsp -reqin ocsp-req.ber -text

OCSP Request 정보 결과

OCSP Request Data:
    Version: 1 (0x0)
    Requestor List:
        Certificate ID:
          Hash Algorithm: sha1
          Issuer Name Hash: B16FA4BFB9B4ECE5D00CB47BE64CB710BFEFB3EC
          Issuer Key Hash: 613273786D3E2FEC12ADAF15524AF02B79B0EE11
          Serial Number: 0BC6CA62C4BD687B
    Request Extensions:
        OCSP Nonce:
            0410563B7D447966E7140E57FD776BAF0C7F

TSP ( Time Stamp Protocol )

TSP 명령어를 사용하기 전에 openssl.cnf 파일에 설정이 되어야 한다.

openssl.cnf 에 TSP 관련 설정

[ tsa ]

default_tsa = tsa_config1   # the default TSA section

[ tsa_config1 ]

# These are used by the TSA reply generation only.
dir     = /d/pvd_certs/xca      # TSA root directory
serial      = $dir/tsaserial    # The current serial number (mandatory)
crypto_device   = builtin       # OpenSSL engine to use for signing
signer_cert = $dir/OCSP_TSA.crt     # The TSA signing certificate
                    # (optional)
certs       = $dir/chain.crt    # Certificate chain to include in reply
                    # (optional)
signer_key  = $dir/OCSP_TSA_pri.pem # The TSA private key (optional)
signer_digest  = sha256         # Signing digest to use. (Optional)
default_policy  = tsa_policy1       # Policy if request did not specify it
                    # (optional)
other_policies  = tsa_policy2, tsa_policy3  # acceptable policies (optional)
digests     = sha1, sha256, sha384, sha512  # Acceptable message digests (mandatory)
accuracy    = secs:1, millisecs:500, microsecs:100  # (optional)
clock_precision_digits  = 0 # number of digits after dot. (optional)
ordering        = yes   # Is ordering defined for timestamps?
                # (optional, default: no)
tsa_name        = yes   # Must the TSA name be included in the reply?
                # (optional, default: no)
ess_cert_id_chain   = no    # Must the ESS cert id chain be included?
                # (optional, default: no)
ess_cert_id_alg     = sha1  # algorithm to compute certificate
                # identifier (optional, default: sha1)

TS 생성

openssl ts -query -data mydata.txt -no_nonce -sha1 -out design1.tsq

TS 정보 Print

openssl ts -query -in design1.tsq -text

TS 정보 메세지 보기

Version: 1
Hash Algorithm: sha1
Message data:
    0000 - f5 72 d3 96 fa e9 20 66-28 71 4f b2 ce 00 f7 2e   .r.... f(qO.....
    0010 - 94 f2 25 8f                                       ..%.
Policy OID: unspecified
Nonce: unspecified
Certificate required: no
Extensions:

TSA와 TSP 용어를 혼합 하여 사용하는 경우가 많은데
TSA 는 Time Stamp Authority 의 약자로서 타임스탬핑 기관이라는 뜻으로 보는데
사실 TSA에서 사용하는 메세지 프로토콜이 TSP 이다.