Следующий: CHECKCRL dirmngr, Пред: LOOKUP dirmngr, Вверх: Протокол dirmngr [Содержание][Указатель]
ISVALID [--only-ocsp] [--force-default-responder] ид.серт.|отп.серт.
Проверить, отозван ли сертификат, описанный с помощью данного
идентификатора. Благодаря буферизации в большинстве случаев
dirmngr
может ответить немедленно.
Идентификатор сертификата представляет шестнадцатеричную строку из двух частей, разделенных одной точкой. Первая часть представляет SHA-1 имени издателя, а вторая часть — серийный номер.
Вместо идентификатора можно задать отпечаток SHA-1; в этом случае запрос OCSP выполняется до сверки по спискам отозванных сертификатов. Если задан параметр --only-ocsp, проверка по спискам отозванных сертификатов в качестве запасного варианта при сбое проверки по OCSP проводиться не будет. Если задан параметр --force-default-responder, будет использоваться только основной ответчик OCSP и никакие другие методы получения URL ответчика OCSP применяться не будут.
Обычные коды выхода:
GPG_ERR_NO_ERROR (0)
Это положительный ответ: сертификат не отозван, и у нас есть свежий список отозванных сертификатов для этого сертификата. Если применялся OCSP, ответчик подтвердил, что сертификат не отозван.
GPG_ERR_CERT_REVOKED
Это отрицательный ответ: сертификат был отозван. Он либо находится в свежем списке отозванных сертификатов, либо ответчик OCSP проинформировал нас о том, что сертификат отозван.
GPG_ERR_NO_CRL_KNOWN
Список отозванных сертификатов для этого сертификата неизвестен, непригоден или устарел.
GPG_ERR_NO_DATA
Ответчик OCSP вернул значение «неизвестно». Это значит, что у него нет сведений о состоянии сертификата.
GPG_ERR_NOT_SUPPORTED
Обычно это значит, что поддержка OCSP не включена в настройках.
Если у dirmngr
недостаточно сведений по данному сертификату
(например, если сертификата пока нет в буфере), он запрашивает недостающие
данные:
S: INQUIRE SENDCERT <идентификатор сертификата> C: D <сертификат в кодировке DER> C: END
Программа-клиент должна быть готова к тому, что dirmngr
может
запросить более одного сертификата.
Если у dirmngr
есть сертификат, но его подпись не удалось
проверить из-за того, что корневой сертификат передан в dirmngr
в
качестве доверенного, он может запросить программу-клиент, следует ли
доверять этому корневому сертификату:
S: INQUIRE ISTRUSTED <шестнадцатеричный отпечаток> C: D 1 C: END
Только при этом ответе dirmngr
будет считать сертификат
доверенным.
Следующий: CHECKCRL dirmngr, Пред: LOOKUP dirmngr, Вверх: Протокол dirmngr [Содержание][Указатель]