我目前正在尝试验证我从URL下载的CRL是否是由相应证书颁发机构签名的有效文件。
使用OpenSSL,您可以按如下方式执行此操作:
https://www.openssl.org/docs/manmaster/apps/crl.html
从CertEurope发布的CRL示例:
openssl crl -in certeurope_v3.crl -inform der -CAfile certeurope_advanced_v3.cer
(CRL文件和CA文件从此URL下载:https://www.certeurope.fr/chaine-de-confiance)
不幸的是,OpenSSL在该命令行中出错:
“获取CRL颁发者证书时出错”
关于此链接:https://www.openssl.org/docs/manmaster/apps/verify.html 原因似乎是:
20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY:无法获得当地 发行人证书无法找到发行人证书:这个 如果不可信证书的颁发者证书不能发生 找到。
这是因为CA文件不是用于签署CRL文件的文件吗?还有另一种方法来验证我下载的CRL文件是否有效?
答案 0 :(得分:0)
dave_thompson_085的答案解决了我的问题。您需要PEM证书来检查CRL有效性。再次感谢。