V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
acbot
V2EX  ›  SSL

自签 CA 证书的相关问题,求解!

  •  
  •   acbot · 2022-08-18 11:46:01 +08:00 · 1063 次点击
    这是一个创建于 829 天前的主题,其中的信息可能已经有所发展或是发生改变。
    1. openssl ca 和 openssl x509 都可以签发 CA 证书,他们的区别是什么呢,我的理解是 openssl x509 仅仅是 openssl ca 签发 x509 标准的证书的子命令,openssl ca 可以生成 index 等 签发记录 吊销记录方便后续认证操作, 而 openssl x509 不具备这样的能力,不知道我这样理解对不对?

    2. openssl pkcs12 -export 导出 pkcs12 格式的包是不是都要包含私钥信息,所以它是不是不适合打包 CA 根证书(用于给操作系统添加信任根证书的情况)

    3. 关于二级 CA 证书的问题

    1 ) 根证书的有效期影响二级根证书及其签发的证书的有效性吗?比如:系统中只添加了根证书的信任,根证书的有效期是一年,然后用这个根证书签发了一个二级 CA 有效期是 2 年,这个二级 CA 又签发了一些超过一年的证书,简单说就是二级证书及其下游证书的有效期已经超过了根证书,那么在不添加二级证书的情况下,是不是根证书到期后整个证书链都失效了?

    2 )用二级 CA 签发的下游证书要完成证书认证,是不是二级 CA 证书本身就在系统的信任列表中或者是二级 CA 签发证书的时候需要把根证书聚合到签发的证书中呢,就是证书链有两种方式实现对不对

    第 1 条附言  ·  2022-08-18 16:53:24 +08:00
    https://www.openssl.org/docs/man1.0.2/man1/

    这个是 OpenSSL 相关命令官方文档,希望对大家有用。
    3 条回复    2022-08-18 16:53:24 +08:00
    iloveayu
        1
    iloveayu  
       2022-08-18 12:20:58 +08:00
    1. 没研究过具体协议,等下面答。
    2. pkcs12 可以不导出私钥,仅导出证书,给操作系统加信任根证书,只要你能把有效的证书,导入到系统的根证书信任区域(不同 OS 叫法不通)就可以,和格式关系不大,证书格式也可以互相转换。
    3.
    ( 1 )证书链肯定崩,具体到通信会不会出问题,要看 Client 端的行为,那我的 Client 端,就无视一切过期问题,硬连 Server ,它也不耽误用。
    ( 2 )最好是导入,实际使用时,一般是导入完整证书链的。
    acbot
        2
    acbot  
    OP
       2022-08-18 16:50:48 +08:00
    @iloveayu
    谢谢

    2. 我也觉得按理来说是这样 只是之前 openssl pkcs12 -export *** -nokeys *** 导出后查看提示错误,所以就有了整个疑问

    3. “( 2 )最好是导入,实际使用时,一般是导入完整证书链的。” 最好是导入这个怎么理解 是最好在系统里面导入二级证书还是 在 签发得证书中导入根证书得聚合。 我看很多教程用的是第二种就是在签发的证书中导入上游证书链,我觉得这个应该也是最合理的。
    iloveayu
        3
    iloveayu  
       2022-08-18 16:53:24 +08:00
    @acbot 签发时包含完整证书链(根+中级+证书),导入的时候也不要单独拆,全都导进去。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3426 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 00:52 · PVG 08:52 · LAX 16:52 · JFK 19:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.