CA CERT : 認証局証明書†[edit]
openssl req -new -key key.pem -out csr.pem
/usr/bin/openssl ca -batch -config /var/CA/JOG_CA/conf/ca.conf -out cert.pem -infiles csr.pem
証明書の確認コマンド†[edit]
- バイナリ
openssl x509 -inform der -in cert.crt -text
- Pem
openssl x509 -in cert.pem -text
- pkcs12
openssl pkcs12 -in cert.p12 -out cert.pem
openssl x509 -in cert.pem -text
pfx (p12) の作成†[edit]
openssl pkcs12 -export -in cert.pem -inkey /usr/local/cert/private/key.pem -out cert.p12
失効リスト(CRL) の作成†[edit]
/usr/bin/openssl ca -gencrl -config /var/CA/JOG_CA/conf/ca.conf -revoke 失効させる証明書(PEM)
(失効情報が index.txt に書き込まれる)
/usr/bin/openssl ca -gencrl -config /var/CA/JOG_CA/conf/ca.conf -out crl/cacrl.pem
/usr/bin/openssl crl -inform pem -outform der -in crl/cacrl.pem -out crl/cacrl.crt # バイナリ化
TXT_DB error (csr を更新していないときのエラー)†[edit]
- openssl ca -revoke newcerts/#.pem -config 設定ファイル
- または index.txt の内容を削除
安全ではない署名アルゴリズムによって署名されているためこの証明書は信頼されません。
(エラーコード: sec_error_cert_signature_algorithm_disabled)
- 恐らく 署名に md5 を使用している.
- openssl の設定ファイルで default_md = sha256 などとする.
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
