Openssl 如何在不使用';我没有证书
我制作了一个由本地机器上创建的CA签名的openssl证书 此证书已被删除,我不再拥有它 无法使用相同的commonName创建另一个证书,因为openssl不允许它,并且将生成错误:Openssl 如何在不使用';我没有证书,openssl,certificate-revocation,Openssl,Certificate Revocation,我制作了一个由本地机器上创建的CA签名的openssl证书 此证书已被删除,我不再拥有它 无法使用相同的commonName创建另一个证书,因为openssl不允许它,并且将生成错误: failed to update database TXT_DB error number 2 如何撤销证书以创建另一个具有相同commonName的证书?我没有尝试过此方法,但您似乎需要类似的方法 openssl ca -revoke bad_crt_file -keyfile ca_key -cert ca
failed to update database
TXT_DB error number 2
如何撤销证书以创建另一个具有相同commonName的证书?我没有尝试过此方法,但您似乎需要类似的方法
openssl ca -revoke bad_crt_file -keyfile ca_key -cert ca_crt
/etc/ssl/newcerts/etc/ssl/index.txtopenssl ca -revoke /etc/ssl/newcerts/1013.pem #replacing the serial number
-keyfile-certopenssl.cnf或者,您也可以更改
/etc/ssl/index.txt.attrunique_subject = no
允许多个具有相同公用名称的证书。如果您已经发布了原始证书,那么撤销旧证书是更好的解决方案,即使您没有运行OSCP服务器或提供CRL。就像其他答案所说的那样,openssl CA通常在子目录中保留签名证书的副本(
newcertscerts密钥new\u certs\u dir-outdiropenssl ca -config openssl.cnf -revoke newcerts/hello-world.pem
opensslca-revoke…index.txtindex.txt# before
V 291008172120Z 6DB67443D7E6C2D95D6E2F7F264C05F944964049 unknown /C=FR/CN=coucou.com
# after
R 291008172120Z 191011172218Z 6DB67443D7E6C2D95D6E2F7F264C05F944964049 unknown /C=FR/CN=coucou.com
# Format is 6 fields, tab-separated, and filename is usually 'unknown' :
# CRL doesn't contain nor need the subject so if unavailable, just make up something close
V/R/E expiration-date revocation-date serial-number filename subject
openssl ca-config openssl.cnf-gencrl-crldays 30-out crl.pem/etc/ssl/index.txtopenssl ca-revoke/etc/ssl/newcerts/1013.pem-keyfile-certopenssl.cnf$OPENSSL ca-revoke“$1.crt”-config“$KEY\u config”$OPENSSL ca-revoke/etc/openvpn/easy rsa/keys/your-PEM.PEM-config“$KEY\u CONFIG”