openssl有效期

1. 怎麼破解openssl 生成的證書

使用OpenSSL工具生成根證書與應用證書方法：1、生成頂級CA的公鑰證書和私鑰文件，有效期10年（RSA1024bits，默認）opensslreq-new-x509-days3650-keyoutCARoot1024.key-outCARoot1024.crt2、為頂級CA的私鑰文件去除保護口令opensslrsa-inCARoot1024.key-outCARoot1024.key3、生成頂級CA的公鑰證書和私鑰文件，有效期15年（RSA2048bits，指定）opensslreq-newkeyrsa:2048-x509-days5480-keyoutCARoot2048.key-outCARoot2048.crt4、為頂級CA的私鑰文件去除保護口令opensslrsa-inCARoot2048.key-outCARoot2048.key5、為應用證書/中級證書生成私鑰文件opensslgenrsa-outapp.key20486、根據私鑰文件，為應用證書/中級證書生成csr文件（證書請求文件）opensslreq-new-keyapp.key-outapp.csr7、使用CA的公私鑰文件給csr文件簽名，生成應用證書，有效期5年opensslca-inapp.csr-outapp.crt-certCARoot1024.crt-keyfileCARoot1024.key-days1826-policypolicy_anything8、使用CA的公私鑰文件給csr文件簽名，生成中級證書，有效期5年opensslca-extensionsv3_ca-inapp.csr-outapp.crt-certCARoot1024.crt-keyfileCARoot1024.key-days1826-policypolicy_anything以上是生成根證書與應用證書過程中要用到的所有命令，根據生成目標不同，分為三組。其中，前面兩組都用於生成自簽名的頂級CA（區別只在於密鑰長度不同），實際應用中只需根據需求選擇一組即可。最後一組用於生成非自簽名的證書，包括中級證書與應用證書。所謂中級證書，是具有繼續頒發下級證書許可權的子CA，而本文中所說的應用證書，特指不能用來繼續頒發下級證書，只能用來證明個體身份的證書。頂級CA在簽發二者的時候，只是多少一個-extensionsv3_ca選項的區別，這個選項賦予被簽發的證書繼續簽發下級證書的權力。

2. 如何用vs2013通過openssl輸出證書的有效期

1、使用VS2005下的Visual Studio 2005 Command Prompt進入控制台模式（這個模式會自動設置各種環境變數） 2、解壓縮openssl的包,進入openssl的目錄 3、perl configure VC-WIN32 盡量在這個目錄下執行該命令，否則找不到Configure文件，或者指定

3. linux下使用openssl檢測PE文件數字簽名的證書是否有效

windows在判斷證書是否有效時不檢測證書的有效期, 即使該證書超過有效期好幾年了, 只要沒有被吊銷, 微軟仍然認為它是有效的. 但在 openssl 提供的 X509_verify_cert 函數會驗證證書的有效期, 因此需要注釋掉驗證有效期的那部分代碼並重新編譯 openssl...
OK, 從 openssl 官網 上下載最新的版本, 好吧, 現在還是剛剛修復 Heartbleed 漏洞的 1.0.1g 版本...
下載, 解壓, 看下 INSTALL 文檔, 先試試可以編譯不:
./config
make

運氣不錯, 不用安裝什麼依賴直接編譯成功. 將代碼根目錄產生的 libcrypto.a 添加到項目中測試下, OK, 可以使用, 下面開始折騰了~
在 crypto/x509/x509_vfy.c 的 153 行找到 X509_verify_cert 函數(在線查看), 局部變數 ok 緩存每一步驗證是否通過, 它依次調用了:
check_issued
check_chain_extensions
check_name_constraints
check_trust
check_revocation
internal_verify
check_policy

其中 internal_verify (在線查看)驗證了證書的有效期, 進入這個函數, 在 1654 行找到這個代碼:
ok = check_cert_time(ctx, xs);
if (!ok)
goto end;

看看 check_cert_time 函數, 確認是檢查 notBefore 和 notAfter, 因此將上面三行代碼注釋掉, 驗證證書時就不會檢測有效期了.
然後就是重新編譯 openssl, 將 libcrypto.a 集成到項目里了~

4. 怎樣查看SSL證書的有效期自動續期是否生效

方法一：直接瀏覽器上查看

1、使用瀏覽器訪問你的站點域名，然後單擊地址欄上內面的鎖圖標進行查容看

上面就是如何查看SSL證書是否過期幾種方法的介紹，一般來說最常用的方法就是直接在瀏覽器上進行查看了，方便快捷。

5. 怎麼關閉openssl

windows在判斷證書是否有效時不檢測證書的有效期,即使該證書超過有效期好幾年了,只要沒有被吊銷,微軟仍然認為它是有效的.但在openssl提供的X509_verify_cert函數會驗證證書的有效期,因此需要注釋掉驗證有效期的那部分代碼並重新編譯op

6. openssl 驗證證書鏈是否有效

如果你想創建不是1年有效期的自簽名證書，或想提供有關自己的額外信息，你可以用一個工具Open SSL來創建證書，而不是SDK隨帶的標准工具：MakeKeys。

7. 怎樣查看SSL證書的有效期

方法一：直接瀏覽器上查看

1、使用瀏覽器訪問你的站點域名，然後單擊地址欄上面的鎖圖標進行查看

上面就是如何查看SSL證書是否過期幾種方法的介紹，一般來說最常用的方法就是直接在瀏覽器上進行查看了，方便快捷。

8. 如何使用OpenSSL工具生成根證書與應用證書

使用OpenSSL工具生成根證書與應用證書方法：
1、生成頂級CA的公鑰證書和私鑰文件，有效期10年（RSA 1024bits，默認） openssl req -new -x509 -days 3650 -keyout CARoot1024.key -out CARoot1024.crt
2、 為頂級CA的私鑰文件去除保護口令 openssl rsa -in CARoot1024.key -out CARoot1024.key
3、 生成頂級CA的公鑰證書和私鑰文件，有效期15年（RSA 2048bits，指定） openssl req -newkey rsa:2048 -x509 -days 5480 -keyout CARoot2048.key -out CARoot2048.crt
4、 為頂級CA的私鑰文件去除保護口令 openssl rsa -in CARoot2048.key -out CARoot2048.key
5、 為應用證書/中級證書生成私鑰文件 openssl genrsa -out app.key 2048
6、 根據私鑰文件，為應用證書/中級證書生成 csr 文件（證書請求文件） openssl req -new -key app.key -out app.csr
7、 使用CA的公私鑰文件給 csr 文件簽名，生成應用證書，有效期5年 openssl ca -in app.csr -out app.crt -cert CARoot1024.crt -keyfile CARoot1024.key -days 1826 -policy policy_anything
8、 使用CA的公私鑰文件給 csr 文件簽名，生成中級證書，有效期5年 openssl ca -extensions v3_ca -in app.csr -out app.crt -cert CARoot1024.crt -keyfile CARoot1024.key -days 1826 -policy policy_anything
以上是生成根證書與應用證書過程中要用到的所有命令，根據生成目標不同，分為三組。其中，前面兩組都用於生成自簽名的頂級CA（區別只在於密鑰長度不同），實際應用中只需根據需求選擇一組即可。 最後一組用於生成非自簽名的證書，包括中級證書與應用證書。所謂中級證書，是具有繼續頒發下級證書許可權的子CA，而本文中所說的應用證書，特指不能用來繼續頒發下級證書，只能用來證明個體身份的證書。頂級CA在簽發二者的時候，只是多少一個 -extensions v3_ca 選項的區別，這個選項賦予被簽發的證書繼續簽發下級證書的權力。

9. openssl 生成ssl證書 能不能用

用openssl生成的ssl證書也叫自簽名ssl證書，這種證書不建議使用，因為有很多弊端：

第一、被「有心者」利用。

其實「有心者」指的就是黑客。自簽名SSL證書你自己可以簽發，那麼同樣別人也可以簽發。黑客正好利用其隨意簽發性，分分鍾就能偽造出一張一模一樣的自簽證書來安裝在釣魚網站上，讓訪客們分不清孰真孰假。

第二、瀏覽器會彈出警告，易遭受攻擊

前面有提到自簽名SSL證書是不受瀏覽器信任的，即使網站安裝了自簽名SSL證書，當用戶訪問時瀏覽器還是會持續彈出警告，讓用戶體驗度大大降低。因它不是由CA進行驗證簽發的，所以CA是無法識別簽名者並且不會信任它，因此私鑰也形同虛設，網站的安全性會大大降低，從而給攻擊者可乘之機。

第三、安裝容易，吊銷難

自簽名SSL證書是沒有可訪問的吊銷列表的，所以它不具備讓瀏覽器實時查驗證書的狀態，一旦證書丟失或者被盜而無法吊銷，就很有可能被用於非法用途從而讓用戶蒙受損失。同時，瀏覽器還會發出「吊銷列表不可用，是否繼續？」的警告，不僅降低了網頁的瀏覽速度，還大大降低了訪問者對網站的信任度。

第四、超長有效期，時間越長越容易被破解

自簽名SSL證書的有效期特別長，短則幾年，長則幾十年，想簽發多少年就多少年。而由受信任的CA機構簽發的SSL證書有效期不會超過2年，因為時間越長，就越有可能被黑客破解。所以超長有效期是它的一個弊端。