这是一个创建于 1151 天前的主题,其中的信息可能已经有所发展或是发生改变。
-
openssl ca 和 openssl x509 都可以签发 CA 证书,他们的区别是什么呢,我的理解是 openssl x509 仅仅是 openssl ca 签发 x509 标准的证书的子命令,openssl ca 可以生成 index 等 签发记录 吊销记录方便后续认证操作, 而 openssl x509 不具备这样的能力,不知道我这样理解对不对?
-
openssl pkcs12 -export 导出 pkcs12 格式的包是不是都要包含私钥信息,所以它是不是不适合打包 CA 根证书(用于给操作系统添加信任根证书的情况)
-
关于二级 CA 证书的问题
1 ) 根证书的有效期影响二级根证书及其签发的证书的有效性吗?比如:系统中只添加了根证书的信任,根证书的有效期是一年,然后用这个根证书签发了一个二级 CA 有效期是 2 年,这个二级 CA 又签发了一些超过一年的证书,简单说就是二级证书及其下游证书的有效期已经超过了根证书,那么在不添加二级证书的情况下,是不是根证书到期后整个证书链都失效了?
2 )用二级 CA 签发的下游证书要完成证书认证,是不是二级 CA 证书本身就在系统的信任列表中或者是二级 CA 签发证书的时候需要把根证书聚合到签发的证书中呢,就是证书链有两种方式实现对不对
第 1 条附言 2022-08-18 16:53:24 +08:00
 | 1 iloveayu 2022-08-18 12:20:58 +08:00 1. 没研究过具体协议,等下面答。 2. pkcs12 可以不导出私钥,仅导出证书,给操作系统加信任根证书,只要你能把有效的证书,导入到系统的根证书信任区域(不同 OS 叫法不通)就可以,和格式关系不大,证书格式也可以互相转换。 3. ( 1 )证书链肯定崩,具体到通信会不会出问题,要看 Client 端的行为,那我的 Client 端,就无视一切过期问题,硬连 Server ,它也不耽误用。 ( 2 )最好是导入,实际使用时,一般是导入完整证书链的。 |
 | 2 acbot OP @iloveayu 谢谢 2. 我也觉得按理来说是这样 只是之前 openssl pkcs12 -export *** -nokeys *** 导出后查看提示错误,所以就有了整个疑问 3. “( 2 )最好是导入,实际使用时,一般是导入完整证书链的。” 最好是导入这个怎么理解 是最好在系统里面导入二级证书还是 在 签发得证书中导入根证书得聚合。 我看很多教程用的是第二种就是在签发的证书中导入上游证书链,我觉得这个应该也是最合理的。 |
Select Language