我正在使用测试服务器测试证书吊销。我尝试将openssl s_client与 crl_check 参数一起用于测试撤销。我已将ca证书附加到我在 CAfile 参数中提供的链文件中。
使用命令:
openssl s_client -connect <host>:<port> -crl_check -cert cert.pem \
-key key.pem -CAfile ca_chain.pem -state -verify_return_error debug
我收到回复:
Verify return code: 3 (unable to get certificate CRL)
这很自然,因为我没有给CRL。
如何将CRL (服务器证书被撤销)提供给openssl s_client 以便在协商中检查证书吊销?
答案 0 :(得分:3)
使用1.02你应该能够做到这一点。来自更改日志:
*) New options -CRL and -CRLform for s_client and s_server for CRLs.
[Steve Henson]
在之前的版本中,行为未记录:You have to include the CRL together with the certificate in the same file如果您使用的是-CAfile的单个文件。如果您使用的目录-CApath而不是it gets even harder。