【问题标题】:How to remove SHA1 cert from chain in pem or crt file如何从 pem 或 crt 文件中的链中删除 SHA1 证书
【发布时间】:2020-06-12 08:59:00
【问题描述】:

我们正在为链中过期的 SHA-1 证书扫描我们的环境。

我们使用以下命令从文件中获取过期 SHA1 证书的详细信息,

[root@webserver01~]# openssl x509 -noout -fingerprint -sha1 -enddate -inform pem. -in /etc/web01/ssl/web01_mycompany_com.pem
SHA1 Fingerprint=A2:C0:7F:DF:67:9B:EF:86:39:4E:E4:7B:D0:F8:74:36:74:CA:9F:27
notAfter=Oct  2 23:59:59 2019 GMT

如何使用 CLI 从/etc/web01/ssl/web01_mycompany_com.pem 文件中删除此特定的过期 SHA-1 证书链。

所以/etc/web01/ssl/web01_mycompany_com.pem 文件将在没有 SHA-1 证书的情况下更新。

【问题讨论】:

  • 每个证书都由链中前面的证书签名,因此无法替换证书并保留后代。您必须生成新证书。
  • 怎么做,我的意思是生成新证书也很好,但是如何在没有 SHA1 的情况下生成新证书(web01_mycompany_com.pem)。我是 ssl 概念的新手。
  • 这不是编程问题。有很多教程可用,具体取决于谁控制父证书。

标签: linux bash ssl openssl ssl-certificate


【解决方案1】:

我想通了。我知道这不是编程问题,但我相信这个论坛并不严格限于编程级别的问题。 这就是添加它来回答的原因,所以如果其他人遇到同样的情况可以使用这个解决方案。

我用https://www.sslshopper.com/certificate-decoder.html

.pem 由证书链组成,我们只需要找出哪个过期并删除即可。

在您喜欢的编辑器中打开 .pem 文件,然后从 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 并粘贴到上面的网站。

它将显示证书的详细信息。如果您在解码器中粘贴的当前证书未过期,则将下一个证书复制到 .pem 文件中并检查结束日期。

一旦找到过期的证书,只需将其删除。 确保将其从开始到结束删除。然后保存文件并使用 openssl 命令再次检查。

注意:- 确保在更改 .pem 文件中的任何内容之前进行备份。

【讨论】:

    猜你喜欢
    • 2014-01-24
    • 1970-01-01
    • 2016-05-02
    • 1970-01-01
    • 2021-11-25
    • 2010-11-02
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多