Revokeされた証明書を確認する
同一DNの証明書を作成するには証明書を無効化(Revoke)すればよい - Shammerismで証明書をRevokeしたが、それをどのように確認すればよいかについてのメモ。
証明書のRevokeとCRLファイルの生成
openssl ca で、-revoke $対象証明書という形で実行。-gencrl を使用すると、CRLファイルを標準出力に返す。-outオプションでファイルを指定すれば、CRLをoutで指定したファイルに書き出してくれる。以下は out なしの例。
# openssl ca -config middleca.conf -revoke Servers/Server1/certificate.pem -gencrl Using configuration from middleca.conf -----BEGIN X509 CRL----- ... -----END X509 CRL----- Revoking Certificate 01. Data Base Updated #
CRLの生成
- revokeと同時でなくてもRevokeした証明書を確認できる。
# openssl ca -config middleca.conf -gencrl Using configuration from middleca.conf -----BEGIN X509 CRL----- ... -----END X509 CRL----- #
CRLの確認
openssl ca -gencrl で生成したCRLは、一旦保存して openssl crl で詳細を確認できる。
# openssl ca -config middleca.conf -gencrl -out MyMiddleCA/crl/CRL.pem Using configuration from middleca.conf # # # # openssl crl -in MyMiddleCA/crl/CRL.pem -text Certificate Revocation List (CRL): Version 2 (0x1) ... CRL extensions: X509v3 CRL Number: 4 Revoked Certificates: Serial Number: 00 Revocation Date: YYYY MM DD GMT Serial Number: 01 Revocation Date: YYYY MM DD GMT Signature Algorithm: ... -----BEGIN X509 CRL----- ... -----END X509 CRL----- #