openssl:验证签名但忽略到期日期
openssl: verify signature but ignore expiration date
是否可以使用 openssl 验证签名,但忽略 notAfter 到期日期,即即使 notAfter 日期已过去,验证也能成功?
用例 - 简化了很多 - 是一个包含由第三方签名的代码的嵌入式控制器。当这个控制器第一次上电时,它必须在执行之前检查代码的签名。
如果在用于签署代码的证书过期很久之后控制器首次启动,这也必须有效。 (即它是几年后从货架上拉下来的替换零件)
(签名的验证也将使用CRL,即使在证书过期后也会保留吊销,因此即使在那时也可以检测到吊销的证书)
简短的回答是肯定的,因为 "verify" 证书的代码几乎总是用户代码,openssl 只提供 .
以SSL Socket为例:
这并不是真正的 openssl 特定的,但 SSL 套接字的每个实现都允许您提供自己的功能来实现服务器(或客户端)证书验证,应用程序可以在其中决定证书是否可信。
如果你不提供一个具体的例子来说明你正在尝试做什么,那么任何人都无法给出更多的答案。
此外,证书吊销通常被视为 broken and is not normally used. If you do use it you may run into performance 个问题。
是否可以使用 openssl 验证签名,但忽略 notAfter 到期日期,即即使 notAfter 日期已过去,验证也能成功?
用例 - 简化了很多 - 是一个包含由第三方签名的代码的嵌入式控制器。当这个控制器第一次上电时,它必须在执行之前检查代码的签名。
如果在用于签署代码的证书过期很久之后控制器首次启动,这也必须有效。 (即它是几年后从货架上拉下来的替换零件)
(签名的验证也将使用CRL,即使在证书过期后也会保留吊销,因此即使在那时也可以检测到吊销的证书)
简短的回答是肯定的,因为 "verify" 证书的代码几乎总是用户代码,openssl 只提供 .
以SSL Socket为例:
这并不是真正的 openssl 特定的,但 SSL 套接字的每个实现都允许您提供自己的功能来实现服务器(或客户端)证书验证,应用程序可以在其中决定证书是否可信。
如果你不提供一个具体的例子来说明你正在尝试做什么,那么任何人都无法给出更多的答案。
此外,证书吊销通常被视为 broken and is not normally used. If you do use it you may run into performance 个问题。