[Eisfair] Dehydrated: OCSP Error querying OCSP responder

Rolf Bensch azubi at bensch-net.de
Mo Dez 19 13:14:45 CET 2022 

Hallo Jürgen,

Am 19.12.22 um 12:56 schrieb Juergen Edner:
> Hallo Rolf,
> 
>> Mal abgesehen von den fehlerhaften Downloads haben wir uns auch etwas vom eigentlichen Problem entfernt: "Error querying OCSP responder". Steht das irgendwie damit im Zusammenhang?
> 
> da es sich bei OCSP um eine Online Statusabfrage handelt muss auch auf der Gegenseite ein entsprechender Listener laufen um die Abfragen zu beantworten. Wenn dieser nicht erreicht werden kann, läuft bzw. antwortet, kommt es nach meinem Verständnis zu der besagten Meldung.

So hatten wir das vor einiger Zeit schon einmal festgestellt. der Server ist grundsätzlich erreichbar:

   eis64-2 (/) # dig r3.o.lencr.org

   ; <<>> DiG 9.18.5 <<>> r3.o.lencr.org
   ;; global options: +cmd
   ;; Got answer:
   ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 65009
   ;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

   ;; OPT PSEUDOSECTION:
   ; EDNS: version: 0, flags:; udp: 1232
   ; PAD: (322 bytes)
   ;; QUESTION SECTION:
   ;r3.o.lencr.org.			IN	A

   ;; ANSWER SECTION:
   r3.o.lencr.org.		114	IN	CNAME	o.lencr.edgesuite.net.
   o.lencr.edgesuite.net.	21594	IN	CNAME	a1887.dscq.akamai.net.
   a1887.dscq.akamai.net.	14	IN	A	95.101.54.131
   a1887.dscq.akamai.net.	14	IN	A	2.16.202.121

   ;; Query time: 16 msec
   ;; SERVER: 192.168.0.1#53(192.168.0.1) (UDP)
   ;; WHEN: Mon Dec 19 13:05:35 CET 2022
   ;; MSG SIZE  rcvd: 468

Bleiben die Fragen, ob der Listener läuft und weshalb dieser nicht antwortet - und das hier nur auf einem Eis.

    eis64-2 (/) # /var/install/bin/certs-update-crl --single 'http://ocsp.digicert.com/!rapidssl_global_tls_rsa4096_sha256_2022_ca1.pem'
    Certificate revocation list (CRL) handling

    - downloading 'http://ocsp.digicert.com/!rapidssl_global_tls_rsa4096_sha256_2022_ca1.pem' ...
      file 'http://ocsp.digicert.com/!rapidssl_global_tls_rsa4096_sha256_2022_ca1.pem' download failed!
    finished.
    Press ENTER to continue
    eis64-2 (/) #

Welche Voraussetzungen sind clientseitig gegeben? Ich vermute mal, die pem-Datei muss in /var/certs/ssl/certs/ liegen (tut sie) - was noch?

Grüße

Rolf

Mehr Informationen über die Mailingliste Eisfair