Следующий: , Пред: , Вверх: Протокол dirmngr   [Содержание][Указатель]


3.6.2 Проверка сертификата по спискам отозванных сертификатов или OCSP

  ISVALID [--only-ocsp] [--force-default-responder] ид.серт.|отп.серт.

Проверить, отозван ли сертификат, описанный с помощью данного идентификатора. Благодаря буферизации в большинстве случаев dirmngr может ответить немедленно.

Идентификатор сертификата представляет шестнадцатеричную строку из двух частей, разделенных одной точкой. Первая часть представляет SHA-1 имени издателя, а вторая часть — серийный номер.

Вместо идентификатора можно задать отпечаток SHA-1; в этом случае запрос OCSP выполняется до сверки по спискам отозванных сертификатов. Если задан параметр --only-ocsp, проверка по спискам отозванных сертификатов в качестве запасного варианта при сбое проверки по OCSP проводиться не будет. Если задан параметр --force-default-responder, будет использоваться только основной ответчик OCSP и никакие другие методы получения URL ответчика OCSP применяться не будут.

Обычные коды выхода:

GPG_ERR_NO_ERROR (0)

Это положительный ответ: сертификат не отозван, и у нас есть свежий список отозванных сертификатов для этого сертификата. Если применялся OCSP, ответчик подтвердил, что сертификат не отозван.

GPG_ERR_CERT_REVOKED

Это отрицательный ответ: сертификат был отозван. Он либо находится в свежем списке отозванных сертификатов, либо ответчик OCSP проинформировал нас о том, что сертификат отозван.

GPG_ERR_NO_CRL_KNOWN

Список отозванных сертификатов для этого сертификата неизвестен, непригоден или устарел.

GPG_ERR_NO_DATA

Ответчик OCSP вернул значение «неизвестно». Это значит, что у него нет сведений о состоянии сертификата.

GPG_ERR_NOT_SUPPORTED

Обычно это значит, что поддержка OCSP не включена в настройках.

Если у dirmngr недостаточно сведений по данному сертификату (например, если сертификата пока нет в буфере), он запрашивает недостающие данные:

  S: INQUIRE SENDCERT <идентификатор сертификата>
  C: D <сертификат в кодировке DER>
  C: END

Программа-клиент должна быть готова к тому, что dirmngr может запросить более одного сертификата.

Если у dirmngr есть сертификат, но его подпись не удалось проверить из-за того, что корневой сертификат передан в dirmngr в качестве доверенного, он может запросить программу-клиент, следует ли доверять этому корневому сертификату:

  S: INQUIRE ISTRUSTED <шестнадцатеричный отпечаток>
  C: D 1
  C: END

Только при этом ответе dirmngr будет считать сертификат доверенным.


Следующий: , Пред: , Вверх: Протокол dirmngr   [Содержание][Указатель]