Проверка токена временной метки по сертификату (но не по всей цепочке сертификации) с использованием OpenSSL

openssl ts приложение в 1.0.2 Филиал имеет ограниченные возможности влиять на процесс проверки сертификата. Используя эту версию, кажется невозможным достичь того, что вы ищете, без изменения кода приложения или написания собственного решения.

в 1.1.0 Однако в ветви OpenSSL реализация конфигурации приложений, выполняющих проверку сертификатов, была консолидирована и согласована. - увидеть варианты проверки внизу синопсиса ts 1.1.0 документация Это означает, что openssl ts в этой ветви есть параметры конфигурации для проверки сертификата, аналогичные другим проверяющим приложениям. В частности, вариант -partial_chain как упомянуто в этом комментарии, полезно.

Тестируя ситуацию, которая кажется похожей на вашу, у меня сработало следующее (где TSA_cert.pem содержит только сертификат подписавшего и без цепочки):

$ openssl ts -verify -in response.tsr -data myFile.txt -CAfile TSA_cert.pem -partial_chain
Verification: OK

Проверка того же файла ответов, но с измененными тремя байтами:

$ openssl ts -verify -in response_corrupted.tsr -data myFile.txt -CAfile TSA_cert.pem -partial_chain
Verification: FAILED
140450542175232:error:21071065:PKCS7 routines:PKCS7_signatureVerify:digest failure:crypto/pkcs7/pk7_doit.c:1007:
140450542175232:error:2F06A06D:time stamp routines:TS_RESP_verify_signature:signature failure:crypto/ts/ts_rsp_verify.c:143:

Тем не менее, мне пришлось обновить до 1.1.1 перед выпуском, потому что я столкнулся с этой ошибкой: Ошибка № 2F067065 - "ошибка сертификата подписи ess" при проверке ответа на отметку времени, для которой исправление не включено в 1.1.0,