如何檢查具有相同通用名稱的現有證書 - openssl

Question

我想了解某人編寫的openssl庫/工具包裝器的代碼，以便更新它。

我完全不熟悉openssl和PKI。我找到了以下文檔/參考資料來幫助導航，但我無法找到我的問題的答案。

http://users.dcc.uchile.cl/~pcamacho/tutorial/crypto/openssl/openssl_intro.html

http://www.madboa.com/geek/openssl/

但我無法找到答案，我的問題。

目標

我需要做到的是修改一些代碼，因此，如果證書仍然有效使用相同的通用名和電子郵件地址重複的證書不能創建。 我打算檢查index.txt以查看具有相同公共名稱的證書是否存在，如果還沒有被撤銷，我將阻止用戶再次創建它。

問題：

當我使用這個webtool創建證書，我看到在/ etc/SSL的index.txt文件可/與記錄開始用「V」更新。 當我撤銷證書時，V被更改爲R. 但是，當我刪除證書時，index.txt文件中沒有更新。記錄保持不變 - 它不會更新爲新狀態，也不會從文件中刪除。

質詢

它是一個錯誤，當一個證書被刪除沒有更新OpenSSL的index.txt文件可？
如果是，更新index.txt以刪除證書的命令是什麼？
也許包裝是問題所在......開發人員可能忘記運行一個命令行工具來更新index.txt文件？我想我只是不知道OpenSSL應該如何處理證書刪除，因此，我不知道我是否有錯誤...以及誰是錯誤。

有沒有辦法使用openssl工具集檢查重複的證書，以便我不必手動檢查index.txt？

感謝您的幫助。

Answer 1

刪除證書不是CA通常會執行的操作。要在證書有效期結束前使證書失效，它將被吊銷。但它們通常不會被刪除，因爲CA想要跟蹤它發出的證書。所以我不確定你爲什麼要考慮刪除證書。

但是，您好像使用openssl ca以及與OpenSSL捆綁在一起的示例CA腳本。根據您的確切需要，您可能正在尋找unique_subjectconfiguration file option，它強制只能爲任何主題同時存在一個有效證書。