openssl生成CRL

已于 2024-02-27 16:51:54 修改
阅读量428 收藏 9
点赞数 5
文章标签: 服务器 linux 运维
于 2024-02-27 16:50:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28129193/article/details/136326729
版权

一、生成数字证书

1.创建根证书私钥(ca.key)
    OpenSSL>  genrsa -out ca.key 1024
2.创建根证书请求文件(root-req.csr)
    OpenSSL> req -new-out root-req.csr -key ca.key -keyform PEM
3.自签根证书(ca.cer)

OpenSSL> x509 -req -extfile /etc/pki/tls/openssl.cnf -extensions v3_ca -in root-req.csr -out ca.cer -signkey ca.key -CAcreateserial -days 3650   
4.生成客户端key(client-key.key)
    OpenSSL> genrsa -out client-key.key 1024
5.生成客户端请求文件(client-req.csr)
    OpenSSL> req -new -out client-req.csr -key client-key.key
6.生成客户端证书,使用根证书签名(client-cert.cer)
    OpenSSL> x509 -req -extfile /etc/pki/tls/openssl.cnf -extensions v3_req -in client-req.csr -out client-cert.cer -signkey client-key.key -CA ca.cer  -CAkey ca.key -CAcreateserial -days 3650
    OpenSSL> x509  -in client-cert.cer -text -noout

二、吊销证书(作废证书)
echo 01 > /etc/pki/CA/crlnumber
一般由于用户私钥泄露等情况才需要吊销一个未过期的证书。(当然我们用本测试CA时其时很少用到该命令,除非专门用于测试吊销证书的情况)
假设需要被吊销的证书文件为second.cer,则执行以下命令吊销证书:
openssl ca -revoke second.cer
#openssl ca -revoke second.cer -cert RootCA.pem -keyfile RootCA.key -config /etc/pki/tls/openssl.cnf


三、生成证书吊销列表文件(CRL)
准备公开被吊销的证书列表时,可以生成证书吊销列表(CRL),执行命令如下:
openssl ca -gencrl -out my1.crl -cert root.cer -keyfile root.key -config /etc/pki/tls/openssl.cnf
   还可以添加-crldays和-crlhours参数来说明下一个吊销列表将在多少天后(或多少小时候)发布。

检查编码
openssl crl -outform der -in my1.crl -out my2.crl 
可以用以下命令检查my2.crl的内容:
openssl crl -in my2.crl -text -noout
 

樱你而笑
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用OpenSSL生成证书
08-17 9434
Step 1. Create key (password protected) openssl genrsa -out prvtkey.pem 1024/2038                     (with out password protected)    openssl genrsa -des3 -out prvtkey.pem 1024/2048    (passwor
使用openssl 生成免费证书的方法步骤
09-14
在本文中,我们只触及了openssl的部分基础知识,实际上,openssl还包括更多的功能和配置选项,例如生成自签名证书、证书吊销列表(CRL)管理以及SSL/TLS会话缓存等。学习和掌握openssl的详细用法,能帮助我们在实际...
OpenSSL命令详解(一)——标准命令
热门推荐
scuyxi的专栏
02-06 4万+
ref: http://www.cnblogs.com/LittleHann/p/3738141.htmlOpenSSL自建CA和签发证书,参见: http://blog.csdn.net/scuyxi/article/details/54898870OpenSSL命令分为以下3个部分。 标准命令Standard commands1. asn1parse:asn1parse用于解释用ANS.1
opensll 证书及CRL生成
qq_44401850的博客
07-12 1376
openssl生成CRLCRL解析,且验证证书吊销列表
java生成crl_24.9.5 使用过时 CRL
weixin_39679370的博客
02-25 215
24.9.5 使用过时 CRL当 S/MIME applet 向 Messaging Server 发送检查证书的请求后,Messaging Server 将根据 CRL 检查证书。Messaging Server 并不是在每次检查证书时都将 CRL 下载到内存中,而是将 CRL 的副本下载到磁盘中并使用该副本进行证书检查。每个 CRL 都有一个下次更新字段,该字段指定在哪个日期后应该使用更新的 ...
[教程]openssl中证书生成、签发,CRL,密钥转换等命令最简教程(可直接跳到后文)
qq_29820307的博客
06-22 3275
生成证书 注意:此处指令请在openssl中运行,命令行操作请在openssl目录下Bin目录内运行命令行,并且请在每条指令前加上“openssl”。例如:openssl genrsa -aes256 -out “rootca.key” 2048 #生成密钥,2048是密钥长度(Bit),-aes256是生成aes256标准的密...
gmssl 生成CRL、OSCP以及证书格式编码格式
lingdukafeibj的博客
07-09 1009
初学者学习gmssl ,以及生成证书,将证书导入到签名验签系统中
openssl.rar
11-16
3. 密钥和证书管理:OpenSSL可以生成、管理和操作X.509数字证书,包括证书请求(CSR)、证书签发、证书撤销列表(CRL)等。 4. 命令行工具:OpenSSL提供了一系列命令行工具,如`openssl genrsa`用于生成RSA私钥,`...
openssl原理与操作.pdf
01-24
OpenSSL 可以构建 PKI 系统,包括 CA 证书的签发、撤销和证书吊销列表 (CRL) 的管理。 10. **安全编程接口 (API)**: OpenSSL 提供 C 语言编程接口,允许开发人员在应用程序中集成 SSL/TLS 功能,实现自定义的...
Linux下用Openssl生成证书[归类].pdf
10-11
Linux环境下,使用OpenSSL生成SSL X.509证书涉及一系列步骤,这些步骤对于软件开发,特别是涉及网络服务安全的项目至关重要。X.509证书是公钥基础设施(PKI)的一部分,用于验证服务器或客户端的身份。以下是一份...
openssl编程说明.rar
11-16
2. 密钥管理:生成和管理公钥/私钥对,以及证书请求、证书签发和证书撤销列表(CRL)的处理。 3. SSL/TLS协议:提供SSLv2、SSLv3、TLSv1.0、TLSv1.1、TLSv1.2及TLSv1.3的实现,确保网络通信的安全性。 4. 哈希函数:...
使用openssl生成证书
chen_jianjian的专栏
04-12 1796
一、生成证书步骤 1.先创建一个目录,我这边创建的目录是/var/myca,终端指向该目录 1.生成私钥(key文件):openssl genrsa -des3 -out server.key 2048 2.去除key文件口令,不然每次读取key文件都要输入口令openssl rsa -in server.key -out server.key 3.key生成一个csr证书:openssl
OpenSSLCRL
weixin_34259232的博客
06-22 837
2019独角兽企业重金招聘Python工程师标准>>> ...
openssl签发证书
吴东方的博客
12-28 6569
导言: 有时候,使用SSL协议是自己内部服务器使用的,这时可以不必去找第三方权威的CA机构做证书,可以做自签证书 使用openssl签发证书分为四个步骤:生成密钥对、生成证书请求、创建一个root CA、签发证书 一、生成密钥对 1、生成rsa密钥 (1)生成私钥 使用命令openssl genrsa: openssl genrsa -out private.key 2048 如果想为这个key值加密,可使用命令: openssl genrsa -aes128 -out private
使用OpenSSL创建包含自签名、本地测试分发点CRL的CMS signedData(M3 Mac)
最新发布
Jasmine_xyy的博客
04-12 709
openssl x509和openssl ca都可以颁发证书,但是需要在证书的扩展字段添加crl的颁发点,就需要使用openssl ca。openssl不支持使用命令行创建包含crl的cms,需要自己编写代码来调用openssl的API来创建。注:-lssl -lcrypto是必须的,-L后面和-I后面换成自己之前which openssl的路径。所以自己生成目录和目录下的文件,会在撤销时找./demoCA/private/cakey.pem。配置CRL服务器:在准备放crl.pem的位置终端。
openssl常用命令大全
Mzxy_1的博客
04-19 2359
openssl常用命令大全
openssl证书撤销列表(Certificate Revocation List,简称CRL)详解
N阶二进制的博客
12-11 2709
证书撤销列表(Certificate Revocation List,简称CRL),是一种包含撤销的证书列表的签名数据结构。CRL是证书撤销状态的公布形式,CRL就像信用卡的黑名单,用于公布某些数字证书不再有效。CRL是一种离线的证书状态信息。它以一定的周期进行更新。CRL可以分为完全CRL和增量CRL。在完全CRL中包含了所有的被撤销证书信息,增量CRL由一系列的CRL来表明被撤销的证书信息,它每次发布的CRL是对前面发布CRL的增量扩充。
Openssl 如何生成证书
linux_tcpdump的博客
10-16 2750
用途。
openssl生成证书链多级证书、证书吊销列表(CRL
Joe's Blog
12-01 2万+
openssl生成证书链多级证书
openssl crl2pkcs7
09-23
openssl crl2pkcs7是一个OpenSSL工具,用于将CRL文件转换为PKCS#7结构。它可以通过以下命令使用: openssl crl2pkcs7 -nocrl -certfile cert.pem -out certpkcs7.pem 该命令的语法如下: openssl crl2pkcs7 [-inform PEM|DER ] [-outform PEM|DER ] [-in filename ] [-out filename ] [-certfile filename ] [-nocrl ] openssl crl2pkcs7提供了SSL协议实现(包括SSLv2、SSLv3和TLSv1)、大量软算法(对称/非对称/摘要)、大数运算、非对称算法密钥生成、ASN.1编解码库、证书请求(PKCS10)编解码、数字证书编解码、CRL编解码、OCSP协议、数字证书验证、PKCS7标准等功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值