针对其根 CA 验证 CRL 签名
Verify CRL signature against its root CA
我目前正在尝试验证我从 URL 下载的 CRL 是否为有效文件,由相应的证书颁发机构签名。
使用 OpenSSL,您可以按如下方式执行此操作:
https://www.openssl.org/docs/manmaster/apps/crl.html
CertEurope 颁发的 CRL 示例:
openssl crl -in certeurope_v3.crl -inform der -CAfile certeurope_advanced_v3.cer
(CRL文件和CA文件都是从这个URL:https://www.certeurope.fr/chaine-de-confiance下载的)
- CA 文件:
https://www.certeurope.fr/reference/certeurope_advanced_v3.cer
- CRL 文件:https://www.certeurope.fr/reference/certeurope_v3.crl
不幸的是,OpenSSL 收到一个错误,命令行显示:
"Error getting CRL issuer certificate"
关于这个 link : https://www.openssl.org/docs/manmaster/apps/verify.html
原因似乎是这样的:
20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY: unable to get local
issuer certificate the issuer certificate could not be found: this
occurs if the issuer certificate of an untrusted certificate cannot be
found.
这是因为 CA 文件不是用于签署 CRL 文件的文件吗?有没有其他方法可以验证我下载的 CRL 文件是否有效?
dave_thompson_085 的回答解决了我的问题。您需要 PEM 证书来检查 CRL 有效性。再次感谢。
我目前正在尝试验证我从 URL 下载的 CRL 是否为有效文件,由相应的证书颁发机构签名。
使用 OpenSSL,您可以按如下方式执行此操作:
https://www.openssl.org/docs/manmaster/apps/crl.html
CertEurope 颁发的 CRL 示例:
openssl crl -in certeurope_v3.crl -inform der -CAfile certeurope_advanced_v3.cer
(CRL文件和CA文件都是从这个URL:https://www.certeurope.fr/chaine-de-confiance下载的)
- CA 文件: https://www.certeurope.fr/reference/certeurope_advanced_v3.cer
- CRL 文件:https://www.certeurope.fr/reference/certeurope_v3.crl
不幸的是,OpenSSL 收到一个错误,命令行显示:
"Error getting CRL issuer certificate"
关于这个 link : https://www.openssl.org/docs/manmaster/apps/verify.html 原因似乎是这样的:
20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY: unable to get local issuer certificate the issuer certificate could not be found: this occurs if the issuer certificate of an untrusted certificate cannot be found.
这是因为 CA 文件不是用于签署 CRL 文件的文件吗?有没有其他方法可以验证我下载的 CRL 文件是否有效?
dave_thompson_085 的回答解决了我的问题。您需要 PEM 证书来检查 CRL 有效性。再次感谢。