openssl查看證書

① openssl訪問https，怎麼獲取證書

1、獲取SSL證書，准備域名。
2、淘寶：Gworg獲取HTTPS證書。
3、拿到證書後，根據伺服器環境安裝。
4、APACHE安裝SSL證書：網頁鏈接
5、Nginx安裝SSL證書：網頁鏈接
6、如果看不到安裝教程，直接叫Gworg代理安裝。

② SSL證書錯誤怎麼辦為什麼會出現證書錯誤

SSL證書錯誤的原因及解決方法：

1、SSL證書包含域名與網址不一致
每一個ssl證書所對應的域名都具有唯一性，是一個全域名FQDN。當網站出具的證書所包含的域名和網站域名不一致，系統就會自動發出報告，提示證書域名不匹配。

解決方法：需要重新申請ssl證書。如有相同主域名的多站點，則要申請多域名ssl證書。

2、網站證書不是由受信任的機構頒發
這是因為證書不在瀏覽器廠商的受信任的列表中。可通過手動添加證書安裝到瀏覽器的「信任列表」。

解決方法：瀏覽器中選項→內容選項卡→證書-→導入即可。

3、網站證書已過期或還未生效
出現這種情況一般是電腦系統日期錯誤，另一種就是證書過了有效期，則需要續費。

解決方法：可查看該證書信息的有效起止日期，確定證書是否在有效期內，如在的話需查看電腦日期是否正確。否則就是第二種原因，ssl證書不在有效期內，需盡快聯系證書頒發廠商，進行續費。

4、頁麵包含有不安全的內容
目前都提倡每一個頁面使用HTTPS，則網站所有內容都必須是HTTPS。如果遇到圖片、JS腳本，FLASH插件是通過HTTP方式去調用的，就會發生這種錯誤。

解決方法：將調用的元素http改成HTTPS即可，然後刷新測試ssl問題是否已經解決。

5、瀏覽網頁的時候突然彈出SSL連接錯誤

解決方法：按下「Win+R」組合鍵打開運行，在運行框中輸入：inetcpl.cpl 點擊確定打開「internet 選項」；切換到【高級】選項卡；在設置框中勾選「使用ssl 3.0」「使用ssl2.0」」點擊應用並點擊確定，重啟瀏覽器。

③ 怎樣給openssl增加根證書

2. 生成Root CA私鑰與證書：
2.1 先生成RootCA私鑰--》使用私鑰生成CSR--》生成自簽名根證書。用來給二級CA證書簽名。
3. 生成二級CA 私鑰與證書：（假如有兩個二級CA， 分別負責管理伺服器端和客戶端證書）
3.1 先生成ServerCA私鑰--》使用私鑰生成CSR--》使用根證書簽名生成二級證書。用來給伺服器證書簽名。
3.2 先生成ClientCA私鑰--》使用私鑰生成CSR--》使用根證書簽名生成二級證書。用來給客戶端證書簽名。
4. 生成伺服器端與客戶端的私鑰與證書：
4.1 先生成ServerA私鑰--》使用私鑰生成CSR--》使用ServerCA證書簽名生成三級證書。
4.2 先生成ClientA私鑰--》使用私鑰生成CSR--》使用ClientCA證書簽名生成三級證書。
4.3 先生成ClientB私鑰--》使用私鑰生成CSR--》使用ClientCA證書簽名生成三級證書
。。。。可以生成N個客戶端證書證書結構：RootCA||-------ServerCA| || |--------ServerA||-------ClientCA||--------ClientA||--------ClientB||--------|
5. 導出RootCA的根證書、伺服器端和客戶端的私鑰和證書。
導出時都使用pem格式。
RootCA.pem-------根證書（PEM ）
ServerA.pem------伺服器端證書（PEM with Certificate chain）
ClientA.pem------客戶端證書（PEM with Certificate chain）
ClientB.pem------客戶端證書（PEM with Certificate chain）
ServerAKey.pem------伺服器端私鑰（PEM ）
ClientAKey.pem------客戶端私鑰（PEM ）
ClientBKey.pem------客戶端私鑰（PEM ）
6.下面是最重要的一步：生成需要使用的JKS文件。keytool工具不能導入私鑰，需要利用到weblogic 提供的一個工具，需要把weblogic.jar加到CLASSPATH。
6.1 生成伺服器和客戶端的信任證書庫：
keytool -import -alias rootca -file RootCA.pem -keystore trust.jks
6.2 生成伺服器端身份密鑰庫：
java utils.ImportPrivateKey -keystore servera.jks -storepass -storetype JKS -keypass -alias servera -certfile ServerA.pem -keyfile ServerAKey.pem
6.3 生成客戶端身份密鑰庫：
java utils.ImportPrivateKey -keystore clienta.jks -storepass -storetype JKS -keypass -alias clienta -certfile ClientA.pem -keyfile ClientAKey.pem 生成其他客戶端身份密鑰庫
7. keytool -list -v -keystore clienta.jks (servera.jks) 可以查看其中的證書鏈關系。

④ 怎樣查看SSL證書的有效期

方法一：直接瀏覽器上查看

1、使用瀏覽器訪問你的站點域名，然後單擊地址欄上面的鎖圖標進行查看

上面就是如何查看SSL證書是否過期幾種方法的介紹，一般來說最常用的方法就是直接在瀏覽器上進行查看了，方便快捷。

⑤ openssl數字證書驗證報錯，用戶說該證書沒有

請檢查證書信息是否錄入准確，如無錯誤請重新安裝驅動，如果仍有問題可能是因為在安裝驅動程序時，電腦上安裝的殺毒或防火牆將驅動程序的某些組件屏蔽導致驅動程序安裝失敗，請暫時關閉殺毒和防火牆重新安裝驅動程序。
當本地時間不在證書有效期范圍內時，查看證書會顯示【證書已過期或未生效】。如果該證書有效，說明本地時間不準，調整為最新時間即可。

⑥ 怎樣查看SSL證書的有效期自動續期是否生效

方法一：直接瀏覽器上查看

1、使用瀏覽器訪問你的站點域名，然後單擊地址欄上內面的鎖圖標進行查容看

上面就是如何查看SSL證書是否過期幾種方法的介紹，一般來說最常用的方法就是直接在瀏覽器上進行查看了，方便快捷。

⑦ 用openssl命令查看ssl證書信息出錯，原因

網上的命令不用於windows伺服器，還有證書信息在證書本身打開就可以看到，詳情加密演算法，協議版本可以搜索：SSL工具。

⑧ linux下使用openssl檢測PE文件數字簽名的證書是否有效

第一個坑: 有效期
windows在判斷證書是否有效時不檢測證書的有效期, 即使該證書超過有效期好幾年了, 只要沒有被吊銷, 微軟仍然認為它是有效的. 但在 openssl 提供的 X509_verify_cert 函數會驗證證書的有效期, 因此需要注釋掉驗證有效期的那部分代碼並重新編譯 openssl...
OK, 從 openssl 官網 上下載最新的版本, 好吧, 現在還是剛剛修復 Heartbleed 漏洞的 1.0.1g 版本...
下載, 解壓, 看下 INSTALL 文檔, 先試試可以編譯不:
./config
make

運氣不錯, 不用安裝什麼依賴直接編譯成功. 將代碼根目錄產生的 libcrypto.a 添加到項目中測試下, OK, 可以使用, 下面開始折騰了~
在 crypto/x509/x509_vfy.c 的 153 行找到 X509_verify_cert 函數(在線查看), 局部變數 ok 緩存每一步驗證是否通過, 它依次調用了:
check_issued
check_chain_extensions
check_name_constraints
check_trust
check_revocation
internal_verify
check_policy

其中 internal_verify (在線查看)驗證了證書的有效期, 進入這個函數, 在 1654 行找到這個代碼:
ok = check_cert_time(ctx, xs);
if (!ok)
goto end;

看看 check_cert_time 函數, 確認是檢查 notBefore 和 notAfter, 因此將上面三行代碼注釋掉, 驗證證書時就不會檢測有效期了.
然後就是重新編譯 openssl, 將 libcrypto.a 集成到項目里了~
第二個坑: unhandled critical extension
搜索了下, 在 openssl 官網上找到這個:
-ignore_critical
Normally if an unhandled critical extension is present which is not supported by OpenSSL the certificate is rejected (as required by RFC5280). If this option is set critical extensions are ignored.

原來是當openssl遇到證書中有它不支持的 未處理的關鍵擴展(unhandled critical extension ?) 時, 它會拒絕載入該證書.
再搜索下 -ignore_critical, 在 verify.c 中找到如下代碼片段:
else if (strcmp(*argv,"-ignore_critical") == 0)
vflags |= X509_V_FLAG_IGNORE_CRITICAL;

然後再使用 X509_STORE_set_flags 函數設置標志位:
X509_STORE *ctx;
...
X509_STORE_set_flags(ctx, vflags);

即可.
第三個坑: certificate signature failure
這個坑填不上了, openssl 說:
7 X509_V_ERR_CERT_SIGNATURE_FAILURE: certificate signature failure
the signature of the certificate is invalid.

在windows下導出證書文件, 直接用 openssl 驗證, 在載入證書就會出錯, PEM_read_bio_X509 返回為空....
第四個坑: A certificate was explicitly revoked by its issuer.
A certificate was explicitly revoked by its issuer. 是 Sysinternals 提供的工具sigcheck.exe 的檢測結果, 把文件拎出來一看, 證書真的被撤銷了...
OK, 只好根據證書上的 CRL Distribution Point(CRL 分發點) 提供的 URL 下載 撤銷證書列表 文件, 然後在調用 X509_verify_cert 驗證證書鏈之前, 設置填充被撤銷的證書列表:
X509_CRL *d2i_X509_CRL_fp(FILE *fp, X509_CRL **crl); // 讀取被撤銷的證書列表

STACK_OF(X509_CRL) *sk_X509_CRL_new_null();
#define sk_X509_CRL_push(st, val) SKM_sk_push(X509_CRL, (st), (val)); // sk_X509_CRL_push(STACK_OF(X509_CRL) *crls, X509_CRL *crl);

void X509_STORE_CTX_set0_crls(X509_STORE_CTX *c, STACK_OF(X509_CRL) *sk); // 設置被撤銷的證書列表

同時, 也要設置檢查被撤銷證書列表的標志位 X509_V_FLAG_CRL_CHECK, 然後再調用X509_verify_cert 驗證證書鏈即可.
填了第四個坑後又引起了第五個坑(如何獲取撤銷證書列表)和第六個坑(設置檢測撤銷證書列表的標識位後, 如果該證書沒有撤銷證書列表則直接報錯)...
第五個坑: 獲取撤銷證書列表文件
證書上的 CRL Distribution Point(CRL 分發點) 屬於擴展屬性, 在 PKCS #7: Cryptographic Message Syntax V1.5 上沒有相關介紹.
在 StackOverflow 上找到這個問答 Openssl - How to check if a certificate is revoked or not, 其中第二個回答說 CRL 是在 RFC 5280 中定義的, 除了證書中附帶被撤銷的證書列表以外還有使用 OCSP 協議的, 即使證書撤銷列表也分為使用 URL分發點和 LDAP DNs(???)提供的, 目前先考慮使用 URL 作為 CRL分發點 的情況吧.
然而 openssl 沒有提供直接獲取 CRL 分發點 URL 的API, 那個回答說 Apache 的 mod_ssl 模塊有本地 CRL 和 OCSP 檢測的實現代碼, 但沒有說明哪裡有檢測使用 URL 作為 CRL分發點 的實現方法.
然後又在 frank4dd.com上找到這個代碼 certextensions.c, 他給出了一個如何使用 openssl 從 X.509v3 版本的證書文件中提取擴展內容的示常式序, 太感謝 Frank4DD 這位仁兄了~~~
到這里後, 可以直接使用他的示常式序, 根據關鍵字 Full Name 和 URI 定位 CRL 分發點 的 URL, 也可以看看 openssl 是如何提取這個 URL 的, 然後自己實現一個介面.
如果自作孽使用第二種方法的話, 就編譯個 debug 版的 openssl 庫, 然後調試跟進X509V3_EXT_print 函數, 一步一步的向下走, 直到走到 GENERAL_NAME_print 函數, 這里就是終點了...然後就知道了 CRL 分發點 的 URL 的編號為 6, 也就是 GEN_URI, 直接取結果吧.
第六個坑: CRL有效期
在windows環境下每次查看PE文件的數字簽名時, windows 都會從 CRL分發點 下載吊銷證書列表做驗證,一般來說, 每個 CRL的有效期是非常短的，大概只有5~20 天的有效期吧, 然而我們不可能像 windows 一樣每次查看數字簽名時就從CRL分發點下載最新的吊銷列表．
另外, windows 遇到過期的 CRL 時不會產生證書鏈無效的結果, 但 openssl 在遇到過期的 CRL 時就會導致證書鏈驗證失敗, 因此在載入和驗證 CRL 時, 要忽略 CRL 的有效期.
分析 openssl 源代碼, X509_verify_cert 調用 check_revocation , 之後調用 check_cert , 然後再調用 check_crl , 在這個函數里有檢測 CRL 有效期的代碼:
if (!(ctx->current_crl_score & CRL_SCORE_TIME))
{
ok = check_crl_time(ctx, crl, 1);
if (!ok)
goto err;
}

將其注釋掉即可忽略檢測 CRL 有效期.
第七個坑: CRL 列表為空導致 openssl 認為沒有載入 CRL

9 初始化順序
10 證書名: key_id
​