例如
openssl x509 \
-req -sha256 \
-days "365" \
-CAcreateserial \
-CA "ca.crt" -CAkey "ca.key" -passin "pass:abcd" \
-in "csr.csr" -extfile "ext.ext" \
-out "c.crt"`
它还创建了一个文件 ca.srl
,其中包含签名证书的序列号。
如果 -CAcreateserial
参数不存在并输出错误,则上述方法将不起作用:
/test/ca.srl: No such file or directory
140413509251520:error:06067099:digital envelope routines:EVP_PKEY_copy_parameters:different parameters:../crypto/evp/p_lib.c:93:
140413509251520:error:02001002:system library:fopen:No such file or directory:../crypto/bio/bss_file.c:72:fopen('/test/ca.srl','r')
140413509251520:error:2006D080:BIO routines:BIO_new_file:no such file:../crypto/bio/bss_file.c:79:
那个参数不是用来输出一个带有序列号的文件,无论如何都可以通过下面的命令获得吗?
openssl x509 \
-in "c.crt" \
-noout \
-serial
那有什么意义呢?如果需要,为什么不在内部创建文件,而是将其保存在存储中?
答案 0 :(得分:5)
第二个命令的 -serial
选项仅输出现有证书的序列号。但是,当您签署证书时,CA 需要为每个证书生成一个唯一的序列号,在此之前,还没有 -serial
的序列号可以输出。
由于每个证书的序列号对于每个颁发者都必须是唯一的,因此颁发者需要跟踪它以前使用过哪些序列号,以确保它不会重复使用任何序列号。 OpenSSL 为您提供了一种使用序列号文件进行跟踪的简单方法。当您指定 -CAcreateserial
时,它会将序列号 01
分配给签名证书,然后创建此序列号文件,其中包含下一个序列号 (02
)。在未来的签名操作中,您应该使用 -CAserial
和该文件的名称,而不是 -CAcreateserial
,并且 OpenSSL 将为每个签名的证书增加该文件中的值。这样,你可以用一个颁发者证书签署一堆证书,并且它们的所有序列号都是唯一的。
如果您使用多个颁发者证书,那么您可以为每个证书使用单独的序列号文件。
请注意,虽然这种方法有效,但不适合生产使用,因为有 some problems with using strictly sequentially increasing certificate serial numbers。
答案 1 :(得分:0)
感谢 @Crowman 的回答,我创建了一些 script 可能会证明该问题。
一个可能的脚本结果:
--------------------------------------------------------------------------------
| A new {serial #1} generated | 310BD94F916BDF47913249966B85A9F7771D746A |
| A new {serial #2} generated | 0AC91627E4E99612D3CC7D99BB9793445CEDB36B |
| Used the same {serial #2} 5 times | 0AC91627E4E99612D3CC7D99BB9793445CEDB370 |
| Used the same {serial #2} 256 times | 0AC91627E4E99612D3CC7D99BB9793445CEDB470 |
--------------------------------------------------------------------------------