自签 CA 证书的相关问题,求解!

2022-08-18 11:46:01 +08:00
 acbot
  1. openssl ca 和 openssl x509 都可以签发 CA 证书,他们的区别是什么呢,我的理解是 openssl x509 仅仅是 openssl ca 签发 x509 标准的证书的子命令,openssl ca 可以生成 index 等 签发记录 吊销记录方便后续认证操作, 而 openssl x509 不具备这样的能力,不知道我这样理解对不对?

  2. openssl pkcs12 -export 导出 pkcs12 格式的包是不是都要包含私钥信息,所以它是不是不适合打包 CA 根证书(用于给操作系统添加信任根证书的情况)

  3. 关于二级 CA 证书的问题

1 ) 根证书的有效期影响二级根证书及其签发的证书的有效性吗?比如:系统中只添加了根证书的信任,根证书的有效期是一年,然后用这个根证书签发了一个二级 CA 有效期是 2 年,这个二级 CA 又签发了一些超过一年的证书,简单说就是二级证书及其下游证书的有效期已经超过了根证书,那么在不添加二级证书的情况下,是不是根证书到期后整个证书链都失效了?

2 )用二级 CA 签发的下游证书要完成证书认证,是不是二级 CA 证书本身就在系统的信任列表中或者是二级 CA 签发证书的时候需要把根证书聚合到签发的证书中呢,就是证书链有两种方式实现对不对

1054 次点击
所在节点    SSL
3 条回复
iloveayu
2022-08-18 12:20:58 +08:00
1. 没研究过具体协议,等下面答。
2. pkcs12 可以不导出私钥,仅导出证书,给操作系统加信任根证书,只要你能把有效的证书,导入到系统的根证书信任区域(不同 OS 叫法不通)就可以,和格式关系不大,证书格式也可以互相转换。
3.
( 1 )证书链肯定崩,具体到通信会不会出问题,要看 Client 端的行为,那我的 Client 端,就无视一切过期问题,硬连 Server ,它也不耽误用。
( 2 )最好是导入,实际使用时,一般是导入完整证书链的。
acbot
2022-08-18 16:50:48 +08:00
@iloveayu
谢谢

2. 我也觉得按理来说是这样 只是之前 openssl pkcs12 -export *** -nokeys *** 导出后查看提示错误,所以就有了整个疑问

3. “( 2 )最好是导入,实际使用时,一般是导入完整证书链的。” 最好是导入这个怎么理解 是最好在系统里面导入二级证书还是 在 签发得证书中导入根证书得聚合。 我看很多教程用的是第二种就是在签发的证书中导入上游证书链,我觉得这个应该也是最合理的。
iloveayu
2022-08-18 16:53:24 +08:00
@acbot 签发时包含完整证书链(根+中级+证书),导入的时候也不要单独拆,全都导进去。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/873695

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX