问题:
当我使用用于 HTTPS 网络服务器的证书签署消息时,OpenSSL 不想对其进行验证。
签名信息:
回显“TestMessage”| openssl smime \ -符号 \ -inkey 服务器密钥.pem \ -签名服务器-crt.pem \ -certfile 服务器-crt.pem \ -noattr -nodetach \ -输出 DER \ -输出签名消息.dat
验证消息:
openssl smime \ -核实 \ -在signedmessage.dat \ -通知 DER \ -签名服务器-crt.pem \ -CA文件 ca-crt.pem \ 验证失败 34379118248:错误:21075075:PKCS7 例程:PKCS7_verify:证书验证错误:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/pkcs7/pk7_smime.c:342:验证错误:不支持的证书目的
现在,我知道我应该使用允许此目的的证书签署我的消息。
但是有没有什么办法可以绕过检查并验证签名呢?
CA 和证书的创建方式如下:
CA 创建:
openssl req -x509 -new -newkey rsa:4096 -keyout ca-key.pem -out ca-crt.pem
证书创建:
openssl req -new -newkey rsa:4096 -keyout server-key.pem -out server-csr.pem -nodes
openssl ca -config openssl.cnf -extensions server -cert ca-crt.pem -keyfile ca-key.pem -in server-csr.pem -out server-crt.pem
openssl.cnf中的扩展定义:
[ 服务器 ] 扩展密钥使用情况 = 服务器验证 密钥用法 = 数字签名,密钥加密 ...
答案1
Openssl smime 在验证模式下将-purpose
选项传递给 openssl verify 的调用。因此,您应该能够添加-purpose sslserver
并验证它。我在 1.0.2d 版本上测试了它,效果很好。