我试图理解一些代码有人写作为openssl库/工具的包装,以更新它。
我对openssl和PKI完全陌生。我找到了以下文档/参考资料来帮助导航,但我无法找到我问题的答案。
http://users.dcc.uchile.cl/pcamacho/教程/加密/openssl openssl_intro.html
http://www.madboa.com/geek/openssl/但是我没能找到问题的答案。
我需要完成的是修改一些代码,使重复的证书与相同的通用名称和电子邮件地址不能被创建,如果证书仍然是活跃的。我计划检查index.txt,看看是否存在具有相同通用名称的证书,如果它没有被撤销,我将阻止用户再次创建它。
问题:
当我使用这个webtool创建证书时,我看到/etc/ssl/中的index.txt文件被更新为以"V"开头的记录。当我撤销一个证书时,V变为R。但是,当我删除证书时,index.txt文件中没有更新任何内容。记录保持不变——没有更新新的状态,也没有从文件中删除。
当证书被删除时,openssl index.txt文件没有更新,这是一个bug吗?
如果是,更新index.txt以删除证书的命令是什么?
也许包装就是问题所在……开发人员可能只是忘记运行命令行工具来更新index.txt文件?我想我只是不知道如何openssl应该处理证书删除,因此,我不能告诉我是否有一个错误或不…这是谁的bug。
是否有一种方法使用openssl工具集检查重复的证书,这样我就不必手动检查index.txt了?
谢谢你的帮助。
删除证书不是CA通常会实现的操作。为了使证书在有效期内失效,将撤销证书。但是它们通常不会被删除,因为CA想要跟踪它颁发了哪些证书。所以我不知道你为什么要删除证书。
然而,您似乎正在使用openssl ca与OpenSSL捆绑的示例CA脚本。根据您的实际需要,您可能正在寻找unique_subject配置文件选项,该选项强制任何主题只能同时存在一个有效的证书。