我对OpenSSL相当陌生,我正在尝试指定一个使用OpenSSL仅可使用一小时的证书。通过openssl ca
使用-startdate
and-enddate
选项,我已经成功地做到了这一点,但是我想知道是否可以在配置文件中设置有效性以用于openssl req
?如果是这样,您能提供一个例子吗?
我尝试使用类似的语法:
privateKeyUsagePeriod = ASN1:SEQUENCE:privateKeyUsagePeriod
[privateKeyUsagePeriod]
notBefore = IMPLICIT:0,GENERALIZEDTIME:20170501000000Z
notAfter = IMPLICIT:0,GENERALIZEDTIME:22910501000000Z
这种语法似乎对有效性不起作用。预先感谢大家为您提供的任何指导。
首先,您的PrivateKeyUsagePeriod示例是错误的;notAfter应该标记为1而不是0。尽管由于实际上几乎没有软件使用PKUP,但此错误可能无关紧要。
实质上,PKUP是扩展,而X509v3扩展使用OID + varying结构,该结构要求OpenSSL实质上允许任何ASN.1类型,以支持将来的添加而无需更改代码。有效性是固定部分的一部分(来自v1),并且由特定代码实现,无论如何,它不是同一类型(未标记,未选项和CHOICE {UTCTime,GeneralizedTime})。
对于openssl ca
您可以使用default_startdate
和default_enddate
在配置文件部分(由default_ca
命名x509_extensions
)(而不是由命名的部分)代替命令行选项。请参阅系统或网络上“配置文件选项”下的手册页。
对于其他命令行操作,当前没有支持此功能的代码。您可以编写自己的应用程序来调用该库,或者由于OpenSSL是开源的,因此只需复制并修改它即可。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句