这是可能的：

openssl ocsp -issuer certchain.pem -cert cert.pem -text -url <the ocsp responder URL>

字符串
一些链接到文章的更多细节：
https://raymii.org/s/articles/OpenSSL_Manually_Verify_a_certificate_against_an_OCSP.html
https://akshayranganath.github.io/OCSP-Validation-With-Openssl/的

OpenSSL API不提供单个API来执行OCSP验证。OpenSSL API提供了原语，因此您可以实现自己的验证。您需要在实现中填写一些细节，这些细节可能取决于您要解决的情况。
我建议您先了解openssl ocsp命令，作为理解的基础。阅读Sanjeev的答案中的链接，您也可以看到使用此命令的示例。
要实施OCSP验证，您需要：
1.从某处提取服务器和颁发者证书（最有可能是SSL连接）
1.从服务器证书中提取OCSP服务器列表
1.使用服务器和颁发者证书生成OCSP请求
1.将请求发送到OCSP服务器并获得响应
1.（可选）验证响应
1.提取证书状态
您也可以选择性地快取具有回应更新日期范围的结果，以便在再次看到凭证时，可以缩短上述程序。
您也可以将一组到同一OCSP服务器的服务器证书组合到一个请求中。
需要注意的是OCSP服务器链接可能不是HTTP，您可能需要支持证书可能具有的任何链接类型。例如，在Windows AD企业设置中，服务器OCSP可能只有LDAP OCSP服务器链接。
您可能还想看看我对一个问题的回答，我将介绍OCSP请求和响应处理的代码示例。
最新消息：
如果要检查整个链，则必须一次执行上述一个证书（尽管证书操作可以重叠）。据我所知，没有办法一下子检查一整条链条。此外，您可能会发现许多中间证书都不提供OCSP链接，因此无法进行检查。如果您需要这样做，那么缓存结果将是一个好主意，因为您将始终遇到相同的中间证书。事实上，您可以提前计划对您一直遇到的“已知”中间证书执行此操作。
你也不停地指着“x509_verify_cert“查我的原话：
应用程序很少直接调用此函数，但OpenSSL在S/MIME和SSL/TLS代码中都在内部使用它进行证书验证。
所以你也不该自己打这个电话。
它似乎可能是存在某种回调我连接到ocsp服务器的功能或类似的东西。

• X509_STORE_CTX_set_verify_cb-用于设置回调以执行您自己的自定义验证-在服务器SSL设置中经常使用
• X509_STORE_CTX_set_ex_data-用于添加回调使用的自定义参数值
• X509_VERIFY_PARAM_set_flags-用于设置标志（例如X509_版本标志CRL_检查或X509_版本标志CRL_全部检查）

在openssl错误中，我发现此定义- x509_err_ocsp_verify_needed
X509_V_ERR_OCSP_VERIFY_NEEDED已定义，但从未在openssl代码库中使用。它意味着从用户提供的验证回调函数返回（即X509_STORE_CTX_set_verify_cb）以指示验证失败并出现该错误。如何处理这些信息取决于您自己。如果您提供回调并从openssl SSL连接返回该错误，则SSL连接将终止。
同样值得注意的是，如果您添加了一个执行完整OCSP检查的自定义验证回调，它将大大降低SSL连接设置的速度。这就是为什么大多数浏览器在默认情况下不这样做，因为它会大大降低用户体验。

这对我来说对Hashicorp Vault服务器有效：

openssl ocsp \
    -noverify \
    -no_nonce \
    -issuer pki_root_ca_chain.pem \
    -cert usercert.pem \
    -url http://test.this.out:8200/v1/pki/ocsp

字符串
上面的命令除了最后一行之外，每行末尾都有一个空格和斜杠。下面是同一命令的一行代码。

openssl ocsp -noverify -no_nonce -issuer pki_root_ca_chain.pem -cert usercert.pem -url http://test.this.out:8200/v1/pki/ocsp

型