这两天在考虑HTTPS撤销证书的问题,需要学习OpenSSL签X.509证书的流程,其中用到OpenSSL自带的CA.pl和CA.sh脚本。有个很奇怪的现象就是我用ubuntu里的CA.pl -newca可以生成正确的根证书,而同事用CentOS就不行。一起对比了一下配置文件、脚本,发现CentOS里的CA脚本少一句,导致签发出来的所谓根证书其实只是终端用户证书。然后看了一下RHEL 5,也有这个毛病。
于是就去centos网站提交了bug报告
http://bugs.centos.org/view.php?id=3860
另外,发现nginx只有0.8.7以上版本才支持CRL(证书撤销列表),唉……
补录:
下午验证了一下,发现OpenSSL原版源代码就那样。奇怪的是redhat为啥选择了有bug的CA.sh而不是正确的CA.pl呢?
https://bugzilla.redhat.com/show_bug.cgi?id=524780
2010年3月30日补录:
今天有新闻说 OpenSSL 终于发布 1.0 了,我看了一下,我提交的那个 bug 报告也被标记为已修复状态了。
不小心找东西找到这里
人家就等你这个bug才够release一个1.0呢
我觉得是故意留给我的。所谓画龙点睛嘛!