Я сделал сертификат openssl, подписанный CA, созданным на локальной машине.
Этот сертификат был удален, и у меня его больше нет.
Невозможно создать другой сертификат с тем же общим именем, потому что openssl не разрешает его и генерирует ошибку:
failed to update database
TXT_DB error number 2
Как я могу отменить сертификат для создания другого с тем же общим именем?
(На основе ответ Nilesh). В конфигурации по умолчанию openssl сохранит копии всех подписанных сертификатов в /etc/ssl/newcerts, названный по его номеру индекса. Поэтому grep /etc/ssl/index.txt, чтобы получить серийный номер ключа, который должен быть отменен, например. 1013, выполните следующую команду:
openssl ca -revoke /etc/ssl/newcerts/1013.pem #replacing the serial number
-keyfile и -cert, упомянутые в ответе Nilesh, необходимы только в том случае, если это отклоняется от настроек openssl.cnf.
В качестве альтернативы вы также можете изменить /etc/ssl/index.txt.attr на строку
unique_subject = no
чтобы разрешить несколько сертификатов с одним и тем же общим именем. Если вы опубликовали исходный сертификат, то предпочтительным решением является отмена старого, даже если вы не запускаете сервер OSCP или не предоставляете CRL.
Я не пробовал это, но похоже, что вам нужно что-то вроде этого.
openssl ca -revoke bad_crt_file -keyfile ca_key -cert ca_crt
openssl автоматически сохраняет копию вашего сертификата в каталоге newcerts. Вы можете проверить это, чтобы получить свой сертификат. К сожалению, вам нужен сертификат, чтобы отозвать его. Для получения дополнительной информации см. Следующее: http://www.mad-hacking.net/documentation/linux/security/ssl-tls/revoking-certificate.xml
Как и в других ответах, openssl CA обычно хранит копию подписанных сертификатов в подкаталоге (newcerts или certs, или keys с easyrsa. Найдите определение new_certs_dir в файле openssl.cnf вашего органа или -outdir опция в скриптах).
Таким образом, канонический способ сделать что-то вроде:
openssl ca -config openssl.cnf -revoke newcerts/hello-world.pem
Однако я добавляю этот ответ, чтобы отметить, что в текущих версиях openssl ca -revoke ..., по-видимому, только обновляет файл index.txt (тем не менее он запрашивает пароль закрытого ключа, который ставится под сомнение там) так что если у вас действительно нет резервной копии сертификата, но у вас все еще есть index.txt или какой-либо способ получить серийный номер, вы можете найти/составить строку сертификата и изменить ее:
# before
V 291008172120Z 6DB67443D7E6C2D95D6E2F7F264C05F944964049 unknown /C=FR/CN=coucou.com
# after
R 291008172120Z 191011172218Z 6DB67443D7E6C2D95D6E2F7F264C05F944964049 unknown /C=FR/CN=coucou.com
# Format is 6 fields, tab-separated, and filename is usually 'unknown' :
# CRL does not contain nor need the subject so if unavailable, just make up something close
V/R/E expiration-date revocation-date serial-number filename subject
(протестировано с OpenSSL 1.1.1c. В некоторых других версиях/средах серийный номер может быть намного короче)
openssl ca -config openssl.cnf -gencrl -crldays 30 -out crl.pem будет фактическим шагом для отзыва сертификата, создавая подписанный список с использованием закрытого ключа органа.