本文介绍在Linux系统上利用OpenSSL验证数字证书的完整流程。
第一步:安装OpenSSL
大多数Linux发行版预装OpenSSL。若未安装,请使用以下命令安装:
<code class="bash">sudo apt-get update sudo apt-get install openssl</code>
第二步:查看证书信息
假设你的证书文件名为certificate.crt,使用以下命令查看其详细信息:
<code class="bash">openssl x509 -in certificate.crt -text -noout</code>
第三步:验证证书链
对于由中间证书签发的证书,需验证完整证书链。假设你拥有:certificate.crt (你的证书),intermediate.crt (中间证书),root.crt (根证书)。 将它们合并,并验证:
<code class="bash">cat certificate.crt intermediate.crt root.crt > fullchain.crt openssl verify -CAfile root.crt fullchain.crt</code>
成功验证后,输出显示 fullchain.crt: OK。
第四步:检查证书有效期
使用以下命令查看证书有效期:
<code class="bash">openssl x509 -in certificate.crt -noout -dates</code>
输出格式例如:notBefore=Jan 1 12:00:00 2020 GMT notAfter=Dec 31 23:59:59 2020 GMT
第五步:验证证书签名
验证证书签名是否有效:
<code class="bash">openssl x509 -in certificate.crt -noout -modulus | openssl md5 openssl rsa -in certificate.key -noout -modulus | openssl md5</code>
两个命令输出一致则签名有效。
第六步:检查证书吊销状态 (可选)
使用OCSP (Online Certificate Status Protocol) 或CRL (Certificate Revocation List) 检查证书吊销状态。 以下为OCSP示例:
<code class="bash">openssl ocsp -issuer issuer.crt -cert certificate.crt -url http://ocsp.example.com</code>
成功验证且证书未吊销,输出显示 OCSP response: success。 请将 http://ocsp.example.com 替换为实际的OCSP URL。
第七步:验证证书主题和颁发者
检查证书的主题和颁发者信息:
<code class="bash">openssl x509 -in certificate.crt -noout -subject openssl x509 -in certificate.crt -noout -issuer</code>
输出类似:subject=CN=example.com issuer=CN=Root CA,O=Example Org,C=US
通过以上步骤,即可在Linux环境下全面验证数字证书的有效性和安全性。 请注意替换示例中的文件名和URL为你的实际值。
以上就是OpenSSL在Linux上如何进行数字证书验证的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
719
收藏
