Revokeされた証明書を確認する
同一DNの証明書を作成するには証明書を無効化(Revoke)すればよい - Shammerismで証明書をRevokeしたが、それをどのように確認すればよいかについてのメモ。
証明書のRevokeとCRLファイルの生成
openssl ca で、-revoke $対象証明書という形で実行。-gencrl を使用すると、CRLファイルを標準出力に返す。-outオプションでファイルを指定すれば、CRLをoutで指定したファイルに書き出してくれる。以下は out なしの例。
# openssl ca -config middleca.conf -revoke Servers/Server1/certificate.pem -gencrl Using configuration from middleca.conf -----BEGIN X509 CRL----- ... -----END X509 CRL----- Revoking Certificate 01. Data Base Updated #
CRLの生成
- revokeと同時でなくてもRevokeした証明書を確認できる。
# openssl ca -config middleca.conf -gencrl Using configuration from middleca.conf -----BEGIN X509 CRL----- ... -----END X509 CRL----- #
CRLの確認
openssl ca -gencrl で生成したCRLは、一旦保存して openssl crl で詳細を確認できる。
# openssl ca -config middleca.conf -gencrl -out MyMiddleCA/crl/CRL.pem
Using configuration from middleca.conf
#
#
#
# openssl crl -in MyMiddleCA/crl/CRL.pem -text
Certificate Revocation List (CRL):
Version 2 (0x1)
...
CRL extensions:
X509v3 CRL Number:
4
Revoked Certificates:
Serial Number: 00
Revocation Date: YYYY MM DD GMT
Serial Number: 01
Revocation Date: YYYY MM DD GMT
Signature Algorithm: ...
-----BEGIN X509 CRL-----
...
-----END X509 CRL-----
#
