openssl有效期

1. 怎么破解openssl 生成的证书

使用OpenSSL工具生成根证书与应用证书方法：1、生成顶级CA的公钥证书和私钥文件，有效期10年（RSA1024bits，默认）opensslreq-new-x509-days3650-keyoutCARoot1024.key-outCARoot1024.crt2、为顶级CA的私钥文件去除保护口令opensslrsa-inCARoot1024.key-outCARoot1024.key3、生成顶级CA的公钥证书和私钥文件，有效期15年（RSA2048bits，指定）opensslreq-newkeyrsa:2048-x509-days5480-keyoutCARoot2048.key-outCARoot2048.crt4、为顶级CA的私钥文件去除保护口令opensslrsa-inCARoot2048.key-outCARoot2048.key5、为应用证书/中级证书生成私钥文件opensslgenrsa-outapp.key20486、根据私钥文件，为应用证书/中级证书生成csr文件（证书请求文件）opensslreq-new-keyapp.key-outapp.csr7、使用CA的公私钥文件给csr文件签名，生成应用证书，有效期5年opensslca-inapp.csr-outapp.crt-certCARoot1024.crt-keyfileCARoot1024.key-days1826-policypolicy_anything8、使用CA的公私钥文件给csr文件签名，生成中级证书，有效期5年opensslca-extensionsv3_ca-inapp.csr-outapp.crt-certCARoot1024.crt-keyfileCARoot1024.key-days1826-policypolicy_anything以上是生成根证书与应用证书过程中要用到的所有命令，根据生成目标不同，分为三组。其中，前面两组都用于生成自签名的顶级CA（区别只在于密钥长度不同），实际应用中只需根据需求选择一组即可。最后一组用于生成非自签名的证书，包括中级证书与应用证书。所谓中级证书，是具有继续颁发下级证书权限的子CA，而本文中所说的应用证书，特指不能用来继续颁发下级证书，只能用来证明个体身份的证书。顶级CA在签发二者的时候，只是多少一个-extensionsv3_ca选项的区别，这个选项赋予被签发的证书继续签发下级证书的权力。

2. 如何用vs2013通过openssl输出证书的有效期

1、使用VS2005下的Visual Studio 2005 Command Prompt进入控制台模式（这个模式会自动设置各种环境变量） 2、解压缩openssl的包,进入openssl的目录 3、perl configure VC-WIN32 尽量在这个目录下执行该命令，否则找不到Configure文件，或者指定

3. linux下使用openssl检测PE文件数字签名的证书是否有效

windows在判断证书是否有效时不检测证书的有效期, 即使该证书超过有效期好几年了, 只要没有被吊销, 微软仍然认为它是有效的. 但在 openssl 提供的 X509_verify_cert 函数会验证证书的有效期, 因此需要注释掉验证有效期的那部分代码并重新编译 openssl...
OK, 从 openssl 官网 上下载最新的版本, 好吧, 现在还是刚刚修复 Heartbleed 漏洞的 1.0.1g 版本...
下载, 解压, 看下 INSTALL 文档, 先试试可以编译不:
./config
make

运气不错, 不用安装什么依赖直接编译成功. 将代码根目录产生的 libcrypto.a 添加到项目中测试下, OK, 可以使用, 下面开始折腾了~
在 crypto/x509/x509_vfy.c 的 153 行找到 X509_verify_cert 函数(在线查看), 局部变量 ok 缓存每一步验证是否通过, 它依次调用了:
check_issued
check_chain_extensions
check_name_constraints
check_trust
check_revocation
internal_verify
check_policy

其中 internal_verify (在线查看)验证了证书的有效期, 进入这个函数, 在 1654 行找到这个代码:
ok = check_cert_time(ctx, xs);
if (!ok)
goto end;

看看 check_cert_time 函数, 确认是检查 notBefore 和 notAfter, 因此将上面三行代码注释掉, 验证证书时就不会检测有效期了.
然后就是重新编译 openssl, 将 libcrypto.a 集成到项目里了~

4. 怎样查看SSL证书的有效期自动续期是否生效

方法一：直接浏览器上查看

1、使用浏览器访问你的站点域名，然后单击地址栏上内面的锁图标进行查容看

上面就是如何查看SSL证书是否过期几种方法的介绍，一般来说最常用的方法就是直接在浏览器上进行查看了，方便快捷。

5. 怎么关闭openssl

windows在判断证书是否有效时不检测证书的有效期,即使该证书超过有效期好几年了,只要没有被吊销,微软仍然认为它是有效的.但在openssl提供的X509_verify_cert函数会验证证书的有效期,因此需要注释掉验证有效期的那部分代码并重新编译op

6. openssl 验证证书链是否有效

如果你想创建不是1年有效期的自签名证书，或想提供有关自己的额外信息，你可以用一个工具Open SSL来创建证书，而不是SDK随带的标准工具：MakeKeys。

7. 怎样查看SSL证书的有效期

方法一：直接浏览器上查看

1、使用浏览器访问你的站点域名，然后单击地址栏上面的锁图标进行查看

上面就是如何查看SSL证书是否过期几种方法的介绍，一般来说最常用的方法就是直接在浏览器上进行查看了，方便快捷。

8. 如何使用OpenSSL工具生成根证书与应用证书

使用OpenSSL工具生成根证书与应用证书方法：
1、生成顶级CA的公钥证书和私钥文件，有效期10年（RSA 1024bits，默认） openssl req -new -x509 -days 3650 -keyout CARoot1024.key -out CARoot1024.crt
2、 为顶级CA的私钥文件去除保护口令 openssl rsa -in CARoot1024.key -out CARoot1024.key
3、 生成顶级CA的公钥证书和私钥文件，有效期15年（RSA 2048bits，指定） openssl req -newkey rsa:2048 -x509 -days 5480 -keyout CARoot2048.key -out CARoot2048.crt
4、 为顶级CA的私钥文件去除保护口令 openssl rsa -in CARoot2048.key -out CARoot2048.key
5、 为应用证书/中级证书生成私钥文件 openssl genrsa -out app.key 2048
6、 根据私钥文件，为应用证书/中级证书生成 csr 文件（证书请求文件） openssl req -new -key app.key -out app.csr
7、 使用CA的公私钥文件给 csr 文件签名，生成应用证书，有效期5年 openssl ca -in app.csr -out app.crt -cert CARoot1024.crt -keyfile CARoot1024.key -days 1826 -policy policy_anything
8、 使用CA的公私钥文件给 csr 文件签名，生成中级证书，有效期5年 openssl ca -extensions v3_ca -in app.csr -out app.crt -cert CARoot1024.crt -keyfile CARoot1024.key -days 1826 -policy policy_anything
以上是生成根证书与应用证书过程中要用到的所有命令，根据生成目标不同，分为三组。其中，前面两组都用于生成自签名的顶级CA（区别只在于密钥长度不同），实际应用中只需根据需求选择一组即可。 最后一组用于生成非自签名的证书，包括中级证书与应用证书。所谓中级证书，是具有继续颁发下级证书权限的子CA，而本文中所说的应用证书，特指不能用来继续颁发下级证书，只能用来证明个体身份的证书。顶级CA在签发二者的时候，只是多少一个 -extensions v3_ca 选项的区别，这个选项赋予被签发的证书继续签发下级证书的权力。

9. openssl 生成ssl证书 能不能用

用openssl生成的ssl证书也叫自签名ssl证书，这种证书不建议使用，因为有很多弊端：

第一、被“有心者”利用。

其实“有心者”指的就是黑客。自签名SSL证书你自己可以签发，那么同样别人也可以签发。黑客正好利用其随意签发性，分分钟就能伪造出一张一模一样的自签证书来安装在钓鱼网站上，让访客们分不清孰真孰假。

第二、浏览器会弹出警告，易遭受攻击

前面有提到自签名SSL证书是不受浏览器信任的，即使网站安装了自签名SSL证书，当用户访问时浏览器还是会持续弹出警告，让用户体验度大大降低。因它不是由CA进行验证签发的，所以CA是无法识别签名者并且不会信任它，因此私钥也形同虚设，网站的安全性会大大降低，从而给攻击者可乘之机。

第三、安装容易，吊销难

自签名SSL证书是没有可访问的吊销列表的，所以它不具备让浏览器实时查验证书的状态，一旦证书丢失或者被盗而无法吊销，就很有可能被用于非法用途从而让用户蒙受损失。同时，浏览器还会发出“吊销列表不可用，是否继续？”的警告，不仅降低了网页的浏览速度，还大大降低了访问者对网站的信任度。

第四、超长有效期，时间越长越容易被破解

自签名SSL证书的有效期特别长，短则几年，长则几十年，想签发多少年就多少年。而由受信任的CA机构签发的SSL证书有效期不会超过2年，因为时间越长，就越有可能被黑客破解。所以超长有效期是它的一个弊端。