- 综合排序
- 最热优先
- 最新优先
- 来自专栏有文化的技术人
“证书”那些事
crl = $dir/crl/crl.pem # WARNING: if you change that, change the default_keyfile in the [req] section = $dir/crl/root.crl.pem crl_extensions = crl_ext default_crl_days = 730 default_md = $dir/crl/intermediate.crl.pem crl_extensions = crl_ext default_crl_days = 365 default_md /root.crl.pem openssl crl \ -inform PEM \ -in crl/root.crl.pem \ -outform DER /intermediate.crl.pem openssl crl \ -inform PEM \ -in crl/intermediate.crl.pem \
66230编辑于 2022-10-27 - 来自专栏程序那些事
密码学系列之:在线证书状态协议OCSP详解
CRL一般是由发布证书的CA来维护和发布的,发布CRL的组件叫做CRL issuer,通常来说CRL issuer和CA是同一个服务,但是你也可以根据需要将CRL issuer和CA进行拆分。 CRL是由CA定时来发布的,当然你也可以按照需要在需要撤销某个CA证书的时候重新发布CRL。 所有的CRL都有过期时间,在这个过期时间之内,客户端可以根据CRL中的签名,去CA验证CRL的有效性,从而防止CRL的伪造。 CRL的缺点 那么CRL有什么缺点呢? 如果每次都去拿这个CRL,就有可能会有下面几个问题。 第一个问题是,如果CRL不可用,那么客户端就拿不到这个CRL,也就无法校验CA证书的状态,从而造成服务不可用。 CRL的状态 虽然CRL维持的是一个撤销证书列表,但是这个列表中证书的状态还是有所不同的。
5K21编辑于 2022-07-06 - 来自专栏网站技术分享
在linux系统下使用 openssl 命令行构建 CA 及证书
crl -inform PEM -in rootca.crl.pem -outform DER -out rootca.crl 每次使用该 CA 签名证书后都需要生成 CRL。 crl -inform PEM -in intermediate1.crl.pem -outform DER -out intermediate1.crl 创建最终用户证书 我们使用新的中级 CA 来生成最终用户的证书 crl -inform PEM -in intermediate1.crl.pem -outform DER -out intermediate1.crl 每次使用该 CA 签名证书后都需要生成 CRL /root/rootca.crt intermediate1.crt intermediate1.crl.pem > ~/enduser-certs/enduser-example.com.crl.chain 校验证书: cd ~/enduser-certsopenssl verify -crl_check -CAfile enduser-example.com.crl.chain enduser-example.com.crt
1.9K11发布于 2021-09-09 - 来自专栏咻一咻
自建CA认证和证书
= $dir/crl # Where the issued crl are kept(注销证书目录) database = $dir/index.txt # database number(下一个吊销证书序号) # must be commented out to leave a V1 CRL crl = $dir/crl.pem . # crlnumber must also be commented out to leave a V1 CRL. # crl_extensions = crl_ext default_days 更新证书吊销列表 openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem
查看crl文件: openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text 更加详细的步骤以及代码实现hexo4.1K20发布于 2020-05-29 - 来自专栏数据派THU
【ICML2022】可达性约束强化学习
来源:专知本文为论文,建议阅读5分钟本文提出了一种可达性CRL (RCRL)方法,利用可达性分析来刻画最大可行集。 约束强化学习(CRL)最近引起了人们的极大兴趣,因为满足安全约束对现实世界的问题至关重要。然而,现有的CRL方法对折现累积成本的约束通常缺乏严格的定义和安全性保证。 近年来的研究利用基于能量的方法,如控制屏障函数(CBF)、安全指数(SI)等,将安全控制与CRL相结合,利用可行集的先验保守估计,影响了学习策略的性能。 针对这一问题,本文提出了一种可达性CRL (RCRL)方法,利用可达性分析来刻画最大可行集。我们用建立的自一致性条件刻画可行集,然后学习一个安全值函数作为CRL的约束。 不同基准上的经验结果,如safecontrol-gym和Safety-Gym验证了学习的可行集,在最优标准中的性能,以及RCRL的约束满足,与最先进的CRL基线进行了比较。
58430编辑于 2022-05-23 - 来自专栏区块链PLUS
区块链证书的安全吊销机制
这无法保证吊销的实时性,在发起吊销到CRL更新的这段时间里,链上的这个证书还是具有有效性的,这就留下了一定的安全隐患,无法实时地将有问题的证书在链上吊销。 CRL(Certificate revocation list):在一些密码系统的运作中(一般情况下是公开密钥基础建设的系统),证书吊销列表(CRL)是尚未到期就被证书颁发机构吊销的数字证书的名单。 同时,用户也向CA机构发起证书吊销的动作,一段时间后该证书就会被更新到CRL中。 同时,也会向CA机构发起该证书的吊销动作,CA机构在一定时延后更新CRL,通过CRL提供证书吊销的权威性。 整个过程由用户发起,智能合约保证链上证书吊销的实时性,具体时序图如下。 之后,用户向CA机构发起证书吊销,CA机构在一定时间后更新CRL表,用户就可在CRL表中查询已吊销的证书,从而保证了证书被吊销的权威性。
1.7K20发布于 2020-07-04 - 来自专栏java达人
nginx配置https(亲测可用)
. # Where everything is kept certs = $dir # Where the issued certs are kept crl_dir = $dir # Where the issued crl are kept database = $dir/index.txt # database index file. number # must be commented out to leave a V1 CRL crl = $dir/crl.pem # The current CRL private_key . # crlnumber must also be commented out to leave a V1 CRL. # crl_extensions = crl_ext default_days = 730 # how long to certify for default_crl_days= 30 # how long before next CRL default_md = sha256
2.5K71发布于 2018-01-31 - 来自专栏知识分享
3-STM32带你入坑系列(自己封装点亮一个灯的库--Keil)2-STM32带你入坑系列(点亮一个灯--Keil)
现在呢就是做一个库,我就是想控制IO的时候方便一点,列如 PA 通过某种方式 CRL/CRH/IDR/ODR/BSRR/BRR/LCKR PB 通过某种方式 CRL/CRH/IDR/ODR/BSRR 额,直接进入正题 要是可以这样就好了 PA->CRL = XXXXXXXX PB->CRL = XXXXXXXX PC->CRL = XXXXXXXX PD ->CRL = XXXXXXXX 那就引入结构体(其实可以这样做主要还是因为寄存器地址是连续的) typedef struct { unsigned int CRL; unsigned int CRH; unsigned 口哈 如果咱定义一个 GPIO_TypeDef的变量(指针),然后让这个变量(指针)的地址是 0x40010800 就好了 结构体指针是这个结构体的首地址,也是里面第一个变量的首地址 这样的话 CRL
67110发布于 2019-03-15 - 来自专栏运维之美
你并不在意的 HTTPS 证书吊销机制,或许会给你造成灾难性安全问题!
CRL分布在公共可用的存储库中,浏览器可以在验证证书时获取并查阅CA的最新CRL。 该方法的一个缺陷是撤销的时间粒度限于CRL发布期。只有在计划更新所有当前发布的CRL之后,才会通知浏览器撤销。 2015年,美国几所大学的学生论文中,统计了当时的CA证书吊销情况,如下图: 这个统计可以看出,CA证书厂商的CRL数量不一,大部分是30-50个,而GoDaddy有300多个CRL的地址,同时有近30W 证书的CRL信息 CRL信息是CA在颁发证书时,写入在X.509 v的扩展区域的,比如alipay.com的证书信息: 可以看到,其CRL信息为http://crl3.digicert.com/SecureSiteCAG2 .crl 以及http://crl4.digicert.com/SecureSiteCAG2.crl CRL 检测流程 可以想象一下,在浏览器去校验证书合法性时,还要去下载一个1M的文件后,再去校验 OCSP的优点 相对于CRL方式,证书吊销后,CA Server可以立刻将吊销信息发送给浏览器,生效时间快。响应包内容短,不像CRL的响应包,都将近1M以上。
3K20发布于 2020-02-21 - 来自专栏python3
H3C PKI 概述
任何一个证书被废除以后, CA 就要发布 CRL 来声明该证书是无效的,并列出所有被废除的证书的序列号。 当一个 CRL 的撤消信息过多时会导致 CRL 的发布规模变得非常庞大,且随着 CRL 大小的增加,网络资源的使用性能也会随之下降。 为了避免这种情况,允许一个 CA 的撤消信息通过多个 CRL 发布出来,并且使用 CRL 发布点来指出这些小 CRL 的位置。 3. 其作用包括:发放证书、规定证书的有效期和通过发布 CRL 确保必要时可以废除证书。 3. CA 批准实体撤消证书,并更新 CRL,发布到LDAP 服务器。
1.1K40发布于 2020-01-15 - 来自专栏crl .net
对EF Core进行扩展使支持批量操作/复杂查询
安装nuget包:CRL.EFCore.Extensions 2. using CRL; using CRL.EFCore.Extensions; ### 实现数据批量操作 配置实体映射,调用ConfigEntityTypeBuilder result = view2.ToList(); var sql = q1.PrintQuery(); ``` 源码示例参考[Data/EFTest · hubroxxl/CRL - 码云 - 开源中国 (gitee.com)](https://gitee.com/hubroxxl/crl/tree/master/Data/EFTest) 高级的查询方法见源码示例 [Data /QueryTest/test · hubroxxl/CRL - 码云 - 开源中国 (gitee.com)](https://gitee.com/hubroxxl/crl/tree/master/Data
1.7K10发布于 2021-07-06 - 来自专栏用户1069690的专栏
自签CA和SSL证书
Where everything is kept certs = $dir/certs # Where the issued certs are kept crl_dir = $dir/crl # Where the issued crl are kept new_certs_dir = $dir/newcerts certificate # For certificate revocation lists. crlnumber = $dir/crlnumber # the current crl number crl = $dir/crl.pem # The current CRL crl_extensions = crl_ext # SHA- = 30 # how long before next CRL # A few difference way of specifying how similar
2.3K20编辑于 2022-05-18 - 来自专栏知行合一
证书管理系统
并且可以快速的吊销证书,以及导出CA和CRL。 吊销后,应当更新CRL,更新方式为certm-gencrl 如果想吊销 国密 证书,使用参数--type sm2即可 如果想吊销 ECDSA 证书,需要使用参数--type ecdsa即可 生成crl: certm-gencrl CRL文件存储在路径:output/ca/ 导出CA证书: certm-genca CA证书存储在路径:output/ca/ 退出环境: deactivate 证书文件说明 └── sub-ca.pem.crl 由certm-genca命令生成: ca-all.pem.crt:包含所有CA证书,包括RSA、ECDSA和国密 ca-chain-gm.pem.crt:国密CA :国密中间CA证书的CRL sub-ca.pem.crl:RSA和ECDSA证书的中间CA证书的CRL
1.3K10编辑于 2024-08-23 - 来自专栏码匠的流水账
聊聊dubbo-go-proxy的ConsulRegistryLoad
*ConsulRegistryLoad) GetCluster() (string, error) { return crl.cluster, nil } GetCluster方法返回ConsulRegistryLoad 的cluster属性 LoadAllServices dubbo-go-proxy/pkg/registry/consul.go func (crl *ConsulRegistryLoad) LoadAllServices () ([]*common.URL, error) { agentServices, err := crl.client.Agent().ServicesWithFilter(dubboAPIFilter ") } var urls []*common.URL for _, service := range agentServices { url, err := crl.transfer2Url ,之后遍历agentServices通过transfer2Url方法转换为url transfer2Url dubbo-go-proxy/pkg/registry/consul.go func (crl
40200发布于 2021-02-15 - 来自专栏Hadoop实操
0638-6.1.0-Cloudera Manager配置TLS
在该目录下创建根CA的目录结构 cd /root/ca mkdir certs crl newcerts private chmod 700 private touch index.txt echo 1000 = $dir/certs/ca.cert.pem # For certificate revocation lists. crlnumber = $dir/crlnumber crl = $dir/crl/ca.crl.pem crl_extensions = crl_ext default_crl_days = 30 # SHA-1 is deprecated 创建Intermediate CA目录结构 cd /root/ca/intermediate mkdir certs crl csr newcerts private chmod 700 private = $dir/crl/intermediate.crl.pem crl_extensions = crl_ext default_crl_days = 30 # SHA
2.5K30发布于 2019-05-23 - 来自专栏菲宇
使用 openssl 生成证书(含openssl详解)
: crl是用于管理CRL列表 openssl crl [args] 7.1) -inform arg 输入文件的格式 7.1.1) DER 这一项可用于在文件中根据颁发者信息值的哈希值来查询CRL对象。 7.7) -fingerprint 打印CRL对象的标识。 example1: 输出CRL文件,包括(颁发者信息HASH值、上一次更新的时间、下一次更新的时间) openssl crl -in crl.crl -text -issuer -hash -lastupdate –nextupdate example2: 将PEM格式的CRL文件转换为DER格式 openssl crl -in crl.pem -outform DER -out crl.der 8) crl2pkcs7: 用于CRL和PKCS#7之间的转换 openssl crl2pkcs7 [options] <infile >outfile 转换pem到spc
19.8K53发布于 2019-06-12 - 来自专栏白驹过隙
OpenSSL - 利用OpenSSL自签证书和CA颁发证书
public.key 查看证书信息 openssl x509 -noout -text -in cacert.pem 建立CA颁发证书 (1) 环境准备 首先,需要准备一个目录放置CA文件,包括颁发的证书和CRL = $dir/crl # Where the issued crl are kept 14 database= $dir/index.txt # # The CA certificate 17 serial= $dir/serial # The current serial number 18 crl = $dir/crl.pem # The current CRL 19 private_key= $dir/CA/OrbixCA.pk # The private = 30 # how long before next CRL 23 default_md= md5 # which message
7.2K171发布于 2018-05-18 - 来自专栏EMQ 物联网
EMQX Enterprise 4.4.11 发布:CRL/OCSP Stapling、Google Cloud Pub/Sub 集成、预定义 API 密钥
CRL 与 OCSP Stapling此前版本中,通过 EMQX 内置的 SSL/TLS 支持,您可以使用 X.509 证书实现客户端接入认证与通信安全加密,本次发布的版本在此基础上新增了 CRL 与 CRL(Certificate Revocation List,证书吊销列表) 是由 CA 机构维护的一个列表,列表中包含已经被吊销的证书序列号和吊销时间。 EMQX 允许配置 CA 的请求端点并定时刷新获取 CRL,而客户端无需维护 CRL,在连接握手时通过 EMQX 即可完成证书有效性验证。 OCSP(Online Certificate Status Protocol,在线证书状态协议)是另外一个证书吊销方案,相比于 CRL, OCSP 提供了实时的证书验证能力。 图片通过 CRL 与 OCSP Stapling 功能,您可以控制每一张证书的有效性,及时吊销非法客户端证书,为您的物联网应用提供灵活且高级别的安全保障。
3K30编辑于 2022-12-01 - 来自专栏北京马哥教育
openssl创建CA、申请证书及其给web服务颁发证书
CA/newcerts/ SERIAL.pem 7)生成吊销证书的编号(第一次吊销一个证书时才需要执行) echo 01 > /etc/pki/CA/crlnumber 8)更新证书吊销列表,查看crl 文件 openssl ca -gencrl -out /etc/pki/CA/crl/ca.crl openssl crl -in /etc/pki/CA/crl/ca.crl -noout -text
2.7K50发布于 2018-05-04 - 来自专栏码匠的流水账
聊聊dubbo-go-proxy的ZookeeperRegistryLoad
cluster来创建ZookeeperRegistryLoad GetCluster dubbo-go-proxy/pkg/registry/zookeeper.go // nolint func (crl *ZookeeperRegistryLoad) GetCluster() (string, error) { return crl.cluster, nil } GetCluster方法返回 dubbo-go-proxy/pkg/registry/zookeeper.go // LoadAllServices load all services from zookeeper registry func (crl *ZookeeperRegistryLoad) LoadAllServices() ([]*common.URL, error) { children, err := crl.client.GetChildren providerStr := path.Join(rootPath, "/", _interface, "/", "providers") urlStrs, err := crl.client.GetChildren
36340发布于 2021-02-16
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号