Fatal编程技术网
  • ssl/
  • 如何向openssl s_客户端提供CRL?

如何向openssl s_客户端提供CRL?

ssl openssl

如何向openssl s_客户端提供CRL?,ssl,openssl,x509,Ssl,Openssl,X509,我正在用测试服务器测试证书吊销。我正在尝试使用带有crl\U check参数的openssl s\U客户端来测试吊销。我已将ca证书附加到CAfile参数中给定的链文件中 使用命令: openssl s_client -connect <host>:<port> -crl_check -cert cert.pem \ -key key.pem -CAfile ca_chain.pem -state -verify_return_error debug 这很自然,因为我不

我正在用测试服务器测试证书吊销。我正在尝试使用带有crl\U check参数的
openssl s\U客户端
来测试吊销。我已将ca证书附加到CAfile参数中给定的链文件中

使用命令:

openssl s_client -connect <host>:<port> -crl_check -cert cert.pem \
-key key.pem -CAfile ca_chain.pem -state -verify_return_error debug
这很自然,因为我不给CRL

我应该如何将CRL(如果服务器证书被吊销)交给openssl s_客户端,以便在协商中检查证书吊销?

使用1.02,您应该能够做到这一点。从变更日志:

*) New options -CRL and -CRLform for s_client and s_server for CRLs.
   [Steve Henson]
在之前的版本中,该行为是未记录的:如果使用带有
-CAfile
的单个文件。如果您使用的目录是
-CApath

太好了,使用-CAfile将pem格式的crl附加到ca链文件中,如您所建议的那样。 
*) New options -CRL and -CRLform for s_client and s_server for CRLs.
   [Steve Henson]