OpenSSL是一个开源的软件库,提供了一系列用于进行安全通信的加密工具和协议实现。CRL(Certificate Revocation List,证书吊销列表)是一种用于管理和公示吊销数字证书的机制...
请先参考CA一节来生成一个CRL文件,再做如下操作: openssl crl-in crl.crl-text-issuer-hash-lastupdate –nextupdate 1. 将PEM格式的CRL文件转换为DER格式: openssl crl-in crl.pem-outform DER-out crl.der 1. 输出一个DER编码格式的CRL: openssl crl-in crl.der-text-noout 1. 验证CRL: openssl crl-...
首先在/usr/lib/ssl/文件夹下拷贝文件openssl.cnf文件到/etc/certstore/文件夹下,并将该配置文件的路径修改为当前路径,如下 [ CA_default ] dir = ./ # Where everything is kept certs = $dir/certs # Where the issued certs are kept #内部文件需生成(用户证书) crl_dir = $dir/crl # Where the ...
在文件ossl_typ.h中有:typedef struct X509_crl_st X509_CRL; X509_CRL方法: 1.生成一个空的CRL 调用函数X509_CRL_new() eg. X509_CRL *crl = X509_CRL_new(); 2.设置CRL中各信息的值 调用函数X509_CRL_set_XXX,其中XXX可以是version, issuer, lastUpdate, nextUpdate。 3.给CRL签名 调用X509_CRL_...
crl= $dir/crl.pem # The current CRL private_key= $dir/private/cakey.pem# The private key x509_extensions= usr_cert# The extensions to add to the cert # Comment out the following two lines for the "traditional" # (and highly broken) format. ...
证书存放路径:生成证书存储的具体位置,若标记为unknown(ca指令指定了证书输出文件)不影响证书库的正常使用 特征名称(DN)值:证书主题名(Subject) 对于过期的证书,文本数据库并不会自动更新,需要使用ca指令的-updatedb选项进行更新,一般来说,在生成CRL之前,都应该使用-updatedb进行更新 ...
生成不带配置文件的OpenSSL CRL文件 、、 但是,如果其中一个签名证书被泄露,我将不得不重新生成CA并重新分发新的签名客户端证书。我知道可以使用nginx配置中的ssl_crl <path to crl>;使用CRL文件来撤销证书,但我不确定是否可以使用我遵循的指南生成证书。像这样的命令可以使用openssl ca -gencrl -keyfile...
database=$dir/index.txt# 存放当前CRL编号的文件,对于v1版本的CRL则必须注释掉该行crlnumber=$dir/crlnumber# 当前CRL文件crl=$dir/crl.pem# 生成的证书撤销列表(CRL)的默认保存目录crl_dir=$dir/crl# 同一个subject是否只能创建一个证书,设为no表示可以创建多个unique_subject=yes# 签发新证书以及CRL时默认...
在验证签名期间,应用程序可以检查 CRL,以确定给定证书和密钥对是否可信。如果不可信,应用程序可以判断吊销的理由或日期对使用有疑问的证书是否有影响。如果日期早于该证书被吊销的日期,那么该证书仍被认为有效。 应用程序在获得 CRL 之后,可以缓存下来,在它到期之前,一直使用它。如果 CA 发布了新 CRL,那么拥有有效 ...
SSL证书通常有有效期(如一年或两年)。证书到期后需要进行续订。续订过程通常包括生成新的CSR并提交给CA,再由CA签发新证书。 3. 删除和吊销证书 如果SSL证书不再使用,或者存在安全风险(如私钥泄露),应及时吊销证书。吊销证书的操作由证书颁发机构(CA)完成。可以通过OpenSSL查看吊销列表(CRL): ...