生成客户端证书时set_serial选项有什么意义?

时间:2017-03-08 11:05:53

标签: haproxy

生成客户端证书时set_serial选项的意义是什么。

# client certificate creation
openssl genrsa -out client1.key 1024
openssl genrsa -out client2.key 1024
openssl req -new -key client1.key -out client1.csr
openssl req -new -key client2.key -out client2.csr
openssl x509 -req -days 365 -in client1.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client1.crt
openssl x509 -req -days 365 -in client2.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client2.crt

我为所有客户端证书使用了相同的序列号01。撤销特定客户端证书时是否有任何问题?

2 个答案:

答案 0 :(得分:0)

序列号成为证书的一部分,可由证书颁发机构用来标识已签名的证书。

答案 1 :(得分:0)

每个证书由序列号唯一标识,因此在生成证书时需要。颁发证书时,CA必须确保序列号是唯一的并且不会重复使用。

当证书被吊销/过期时,将颁发新证书,新旧证书之间的区别仅在于序列号。由于证书中没有其他数据可以唯一地标识CA中的证书,因此需要序列号。同一站点/域可以有两个证书,唯一的区别是序列号。序列号唯一地标识CA中的证书。