如何给openssl s_client CRL?
How to give CRL to openssl s_client?
我正在使用测试服务器测试证书吊销。我正在尝试使用 openssl s_client 和 crl_check 参数来测试撤销。我已将 ca 证书附加到我在 CAfile 参数中提供的链文件中。
使用命令:
openssl s_client -connect <host>:<port> -crl_check -cert cert.pem \
-key key.pem -CAfile ca_chain.pem -state -verify_return_error debug
我收到回复:
Verify return code: 3 (unable to get certificate CRL)
这很自然,因为我不提供 CRL。
我应该如何将 CRL(服务器证书被吊销的地方)提供给 openssl s_client 以获取证书在协商中检查撤销?
在 1.02 中你应该可以做到这一点。来自更新日志:
*) New options -CRL and -CRLform for s_client and s_server for CRLs.
[Steve Henson]
在此之前的版本中,该行为未记录:You have to include the CRL together with the certificate in the same file if you are using a single file with -CAfile. If you are using a directory with -CApath instead it gets even harder。
我正在使用测试服务器测试证书吊销。我正在尝试使用 openssl s_client 和 crl_check 参数来测试撤销。我已将 ca 证书附加到我在 CAfile 参数中提供的链文件中。
使用命令:
openssl s_client -connect <host>:<port> -crl_check -cert cert.pem \
-key key.pem -CAfile ca_chain.pem -state -verify_return_error debug
我收到回复:
Verify return code: 3 (unable to get certificate CRL)
这很自然,因为我不提供 CRL。
我应该如何将 CRL(服务器证书被吊销的地方)提供给 openssl s_client 以获取证书在协商中检查撤销?
在 1.02 中你应该可以做到这一点。来自更新日志:
*) New options -CRL and -CRLform for s_client and s_server for CRLs.
[Steve Henson]
在此之前的版本中,该行为未记录:You have to include the CRL together with the certificate in the same file if you are using a single file with -CAfile. If you are using a directory with -CApath instead it gets even harder。