证书验证工具、
用法:
openssl verify [-CApath directory] [-CAfile file] [-purpose purpose] [-untrusted file] [-help] [-issuer_checks] [-verbose] [-crl_check] [-engine e] [certificates]
选项
-CApath directory
信任的CA证书存放目录,它们的文件名为xxxx.0,其中xxxx为其证书持有者的摘要值,通过openssl x509 -hash -in cacert1.pem可以获取。
-CAfile file
CA证书,当其格式为PEM格式时,里面可以有多个CA证书。
-untrusted file
不信任的CA的证书,一个文件中可有多个不信任CA证书。
-purpose purpose
证书的用途,如果不设置此选项,则不会验证证书链。purpose的值可以是:sslclient、sslserver、nssslserver、smimesign和smimeencrypt。
-help
打印帮助信息。
-verbose
打印详细信息。
-issuer_checks
打印被验证书与CA证书间的关系。
-crl_check
验证CRL,可以将CRL内容写在CAfile指定的PEM文件中。
certificates
待验证的证书。
举例:
上一节,我们制作了两个证书:cert1.pem和cert2.pem,并撤销了cert2.pem,生成了一个crl文件。在此基础上,我们将crl文件的内容拷贝到demoCA/cacert.pem的结尾,然后做如下验证命令:
openssl verify -CAfile demoCA/cacert.pem -verbose -purpose sslclient -crl_check cert1.pem cert2.pem
会有如下信息:
Electric Fence
cert1.pem: OK
cert2.pem: /C=CN/ST=JS/O=WX/OU=JN/CN=test2/emailAddress=test22@a.net
error 23 at 0 depth lookup:certificate revoked
出错信息用户请参考verify文档。