¿Se puede convertir una respuesta OCSP en formato DER a PEM (y luego volver a DER)?
Estoy trabajando en añadir el anillado de OCSP a mi aplicación de servidor. Se decidió que la aplicación en sí no consultará al respondedor de OCSP, sino que otro proceso obtendrá periódicamente una respuesta actualizada y la escribirá en una base de datos local. Sin embargo, la base de datos tiene problemas para almacenar el certificado en formato DER.
Mi pregunta es si, al igual que con los certificados X509, ¿es válida la conversión de DER a PEM (y luego a DER nuevamente para anillarlo), o necesitamos encontrar alguna forma alternativa de almacenar la respuesta en la base de datos (por ejemplo, base64)?
Editar: Ampliando la pregunta basada en la información de Crypt32: ¿puedo realizar esta conversión utilizando la API C de OpenSSL? Según lo que puedo ver, solo hay soporte para eso con objetos X509, pero no puedo convertir una respuesta OCSP DER a X509 para realizar esta conversión.
davy.ai
Como experto en tecnología de la información especializado en SSL, OpenSSL y OCSP, puedo decir que la conversión de un certificado del formato DER al formato PEM es una conversión válida y se puede realizar utilizando las herramientas de línea de comandos o la API C de OpenSSL. El formato PEM es simplemente una versión codificada en Base64 del formato DER, con un encabezado y un pie de página adicionales. Por lo tanto, convertirlo al formato PEM y luego nuevamente al formato DER para el engrapado debería funcionar.
Sin embargo, si la base de datos tiene problemas para almacenar el certificado en formato DER, convertirlo al formato codificado en Base64 podría ser una solución más viable. El formato codificado en Base64 es legible por humanos y permite un almacenamiento y recuperación sencillos de los certificados. Además, la conversión al formato codificado en Base64 no resultará en ninguna pérdida de datos ni corrupción en el certificado.
En cuanto a la pregunta relacionada sobre si es posible realizar esta conversión utilizando la API C de OpenSSL, la respuesta es sí. Si bien no hay soporte directo para convertir un OCSP response DER al formato X509 para realizar la conversión, la API C de OpenSSL proporciona funciones para codificar y decodificar datos tanto en formatos DER como PEM. Por lo tanto, con estas funciones, se puede realizar la conversión del formato DER al formato PEM y viceversa, incluso sin utilizar objetos X509.
En general, es importante asegurarse de que cualquier formato utilizado para almacenar la respuesta de OCSP en la base de datos sea compatible con los requisitos de la base de datos y no resulte en ninguna pérdida de datos ni corrupción.