Table of contents
CA CERT : 認証局証明書 
設定
CSR の作成
openssl req -new -key key.pem -out csr.pem
CAによる署名
/usr/bin/openssl ca -batch -config /var/CA/JOG_CA/conf/ca.conf -out cert.pem -infiles csr.pem
証明書の確認コマンド
- バイナリ
openssl x509 -inform der -in cert.crt -text
- Pem
openssl x509 -in cert.pem -text
- pkcs12
openssl pkcs12 -in cert.p12 -out cert.pem openssl x509 -in cert.pem -text
pfx (p12) の作成
openssl pkcs12 -export -in cert.pem -inkey /usr/local/cert/private/key.pem -out cert.p12
失効リスト(CRL) の作成
/usr/bin/openssl ca -gencrl -config /var/CA/JOG_CA/conf/ca.conf -revoke 失効させる証明書(PEM)
(失効情報が index.txt に書き込まれる)
/usr/bin/openssl ca -gencrl -config /var/CA/JOG_CA/conf/ca.conf -out crl/cacrl.pem
/usr/bin/openssl crl -inform pem -outform der -in crl/cacrl.pem -out crl/cacrl.crt # バイナリ化Error
TXT_DB error (csr を更新していないときのエラー)
- openssl ca -revoke newcerts/#.pem -config 設定ファイル
- または index.txt の内容を削除
署名アルゴリズム
安全ではない署名アルゴリズムによって署名されているためこの証明書は信頼されません。 (エラーコード: sec_error_cert_signature_algorithm_disabled)
- 恐らく 署名に md5 を使用している.
- openssl の設定ファイルで default_md = sha256 などとする.
Counter: 3327,
today: 3,
yesterday: 0
Last-modified: 2020-08-23 (Sun) 11:25:15 (JST) (1346d) by iseki
