自签 CA 证书的相关问题，求解!

openssl ca 和 openssl x509 都可以签发 CA 证书，他们的区别是什么呢，我的理解是 openssl x509 仅仅是 openssl ca 签发 x509 标准的证书的子命令，openssl ca 可以生成 index 等签发记录吊销记录方便后续认证操作，而 openssl x509 不具备这样的能力，不知道我这样理解对不对？
openssl pkcs12 -export 导出 pkcs12 格式的包是不是都要包含私钥信息，所以它是不是不适合打包 CA 根证书（用于给操作系统添加信任根证书的情况）
关于二级 CA 证书的问题

1 ）根证书的有效期影响二级根证书及其签发的证书的有效性吗？比如：系统中只添加了根证书的信任，根证书的有效期是一年，然后用这个根证书签发了一个二级 CA 有效期是 2 年，这个二级 CA 又签发了一些超过一年的证书，简单说就是二级证书及其下游证书的有效期已经超过了根证书，那么在不添加二级证书的情况下，是不是根证书到期后整个证书链都失效了？

2 ）用二级 CA 签发的下游证书要完成证书认证，是不是二级 CA 证书本身就在系统的信任列表中或者是二级 CA 签发证书的时候需要把根证书聚合到签发的证书中呢，就是证书链有两种方式实现对不对

iloveayu

2022-08-18 12:20:58 +08:00

1. 没研究过具体协议，等下面答。
2. pkcs12 可以不导出私钥，仅导出证书，给操作系统加信任根证书，只要你能把有效的证书，导入到系统的根证书信任区域（不同 OS 叫法不通）就可以，和格式关系不大，证书格式也可以互相转换。
3.
（ 1 ）证书链肯定崩，具体到通信会不会出问题，要看 Client 端的行为，那我的 Client 端，就无视一切过期问题，硬连 Server ，它也不耽误用。
（ 2 ）最好是导入，实际使用时，一般是导入完整证书链的。

acbot

2022-08-18 16:50:48 +08:00

@iloveayu
谢谢

2. 我也觉得按理来说是这样只是之前 openssl pkcs12 -export *** -nokeys *** 导出后查看提示错误，所以就有了整个疑问

3. “（ 2 ）最好是导入，实际使用时，一般是导入完整证书链的。” 最好是导入这个怎么理解是最好在系统里面导入二级证书还是在签发得证书中导入根证书得聚合。我看很多教程用的是第二种就是在签发的证书中导入上游证书链，我觉得这个应该也是最合理的。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/873695

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.