我有一个自签名的rootcacert.pem,它将在下一个到期 月。由于具体原因,我已经延长了这个的有效性 rootcacert使用命令:
openssl x509 -in rootcacert.pem -days 365 -out extendedrootcacert.pem - signkey rootcakey.pem -text
所以我得到了新的root ca作为extendedrootcacert.pem。使用新的根ca, 我可以使用由旧root ca签名的用户证书 由此新root签名的较新用户证书。所有功能 工作正常没有任何问题。
但是当我打开这个extendedrootcacert.pem&原版的 rootcacert.pem文件使用记事本,我发现有区别 之间的内容。
rootcacert.pem有私钥和其他信息(私人 - 键,publicExponent,privateExponent,prime1,prime2,exponent1,exponent2,系数), 看起来像:
http://ospkibook.sourceforge.net/docs/OSPKI-2.4.7/OSPKI-html/sample-key-components.htm
但新的extendedrootcacert.pem中没有此信息 它。 证书中的所有其他字段都相同。
我不知道原始的rootcacert.pem是如何生成的。
是否会对我的应用程序的功能产生任何不利影响。 有没有办法在新的扩展根中包含此信息 约是否有必要以新的方式提供此信息 扩展根ca?
感谢任何输入。
答案 0 :(得分:1)
你的链接是错误的。
证书的重要部分是:
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
所有人类可理解的外部仅供人类消费。
您可以使用以下方式重新编译这两种信息:
openssl x509 -in rootca.pem -noout -text
openssl x509 -in extendedrootca.pem -noout -text
并比较它们。
您的rootca.pem很可能将两者密钥和证书合并到一个文件中。在这种情况下,您将找到如下行:
-----BEGIN RSA PRIVATE KEY-----
…
-----END RSA PRIVATE KEY-----
然后您应该将它添加到您的extendedrootca.pem。