生成客户端证书时set_serial选项的意义是什么。
# client certificate creation
openssl genrsa -out client1.key 1024
openssl genrsa -out client2.key 1024
openssl req -new -key client1.key -out client1.csr
openssl req -new -key client2.key -out client2.csr
openssl x509 -req -days 365 -in client1.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client1.crt
openssl x509 -req -days 365 -in client2.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client2.crt
我为所有客户端证书使用了相同的序列号01。撤销特定客户端证书时是否有任何问题?
答案 0 :(得分:0)
序列号成为证书的一部分,可由证书颁发机构用来标识已签名的证书。
答案 1 :(得分:0)
每个证书由序列号唯一标识,因此在生成证书时需要。颁发证书时,CA必须确保序列号是唯一的并且不会重复使用。
当证书被吊销/过期时,将颁发新证书,新旧证书之间的区别仅在于序列号。由于证书中没有其他数据可以唯一地标识CA中的证书,因此需要序列号。同一站点/域可以有两个证书,唯一的区别是序列号。序列号唯一地标识CA中的证书。