如果中间证书在根证书之后有过期日期，是否会抛出openssl错误？

中间证书在根证书之后有过期日期不会导致openssl错误。在TLS/SSL握手过程中，服务器会向客户端发送证书链，其中包括服务器证书、中间证书和根证书。客户端会验证证书链的有效性，包括验证证书的签名、证书的有效期等。

在验证证书链时，客户端会检查每个证书的有效期，包括中间证书和根证书。如果中间证书在根证书之后有过期日期，但仍在有效期内，客户端会继续验证根证书的有效性。只有当根证书过期或无效时，客户端才会抛出openssl错误。

因此，中间证书在根证书之后有过期日期不会直接导致openssl错误，但如果根证书过期或无效，则会引发错误。为了确保证书链的有效性，建议定期更新根证书和中间证书，以避免潜在的问题。

相关·内容

如何建立TLS连接？TLS握手失败可能这个原因！

这次确实有变更，会在客户端打开服务端证书校验的特性，而这特性在以前不打开。但这还无法解释，为啥客户端居然会认为，一个明明在有效期内的证书是过期。...读取 /usr/lib/ssl/certs 下的文件 a1b2c3d4.1 接着，OpenSSL就报告certificate has expired，expire日期2020年10月24日明显进展：很可能就是这文件导致错误...，进而因为这张本地的中间证书确实已经过期，导致OpenSSL抛出了certificate has expired的错误！...TLS证书链 TLS的信任是通过对证书链的验证：信任根证书 -> 信任中间证书 -> 信任叶子证书本地证书加上收到的证书，就形成了证书链，如果其中有问题，那么证书校验将会失败。...假设服务端返回的证书链是根证书+中间证书+叶子证书，客户端没有这个根证书，但是有这个中间证书。你认为客户端会信任这个证书链吗？如果客户端缺少根证书，那么客户端将无法验证证书链的完整性和真实性。

1.2K4 0

数据库PostrageSQL-用 SSL 进行安全的 TCPIP 连接

假设根证书和中间证书是使用v3_ca扩展名创建的，那么这样做避免了在客户端上存储中间证书的必要。这使得中间证书更容易到期。无需将根证书添加到中server.crt。...如果希望避免将链接到现有根证书的中间证书显示在ssl_ca_file文件中（假设根证书和中间证书是使用 v3_ca 扩展名创建的），则这些证书也可以显示在ssl_ca_file 文件中。...在Windows系统上，只要为新客户端连接生成新的后端进程，它们也会重新读取。如果在服务器启动时检测到这些文件中的错误，服务器将拒绝启动。...但是，如果在配置重新加载过程中检测到错误，则会忽略这些文件，并继续使用旧的SSL配置。在Windows系统上，如果在后端启动时检测到这些文件中存在错误，则该后端将无法建立SSL连接。...server.key还应该存储在服务器上。root.crt应将其存储在客户端上，以便客户端可以验证服务器的叶证书是否已由链接到其受信任根证书的证书链签名。

1.3K1 0

Jtti：SSL证书无效的原因及对应解决办法

SSL证书无效通常会导致用户在访问网站时遇到安全警告或错误。SSL证书的无效可能由多种原因引起，以下是一些常见原因及其对应的解决办法：1. 证书过期原因：证书有有效期，过期后会被认为无效。...证书链不完整原因：证书链指的是根证书、中间证书和服务器证书的链条。如果链条中的中间证书缺失或配置不正确，浏览器可能无法验证证书的有效性。...安装根证书：如果您使用的是自签名证书或非受信任CA的证书，需要将根证书添加到信任的证书存储区。5. 证书被撤销原因：证书可能被证书颁发机构撤销，通常由于安全问题或证书信息变更。...的nginx.conf）中SSL证书相关的配置是否正确。...解决办法：安装和配置中间证书：确保在服务器上正确安装所有必需的中间证书。可以从证书颁发机构获取正确的中间证书链文件。通过以上检查和调整，可以解决大多数SSL证书无效的问题。

1971 0

1、iOS安全【 SSL证书验证，让Charles再也无法抓你的请求数据】2、iOS逆向：【绕过证书校验】

HTTPS连接建立过程：客户端和服务端建立一个连接，服务端返回一个证书，客户端里存有各个受信任的证书机构根证书，用这些根证书对服务端返回的证书进行验证，经验证如果证书是可信任的，就生成一个pre-master...例子：一个证书颁发机构(CA)，颁发了一个证书A，服务器用这个证书建立https连接。客户端在信任列表里有这个CA机构的根证书。...（这中间还有一次hash算法）建立https连接时，服务端返回证书A给客户端，客户端的系统里的CA机构根证书有这个CA机构的公钥，用这个公钥对证书A的加密内容F1解密得到F2，跟证书A里内容F对比，若相等就通过验证...为什么直接对比就能保证证书没问题？如果中间人从客户端取出证书，再伪装成服务端跟其他客户端通信，它发送给客户端的这个证书不就能通过验证吗？...• 第二步验证、对比服务端返回的证书跟客户端存储的证书是否一致 1.3 AFNetworkingssl证书认证的步骤 1.3.1 获取到站点的证书：使用以下openssl命令来获取到服务器的公开二进制证书

5.2K5 1

OpenSSL 是什么？

自签名的证书仅有一个环节的长度：信任锚环节就是已签名证书本身。证书链可以拥有任意环节的长度。在三节的证书链中，信任锚证书可以对中间证书进行签名，中间证书的拥有者可以用自己的私钥对另一个证书进行签名。...证书链是 CA 发出的证书序列，最终以根 CA 证书结束。...CA 可以指定证书被吊销的起始日期，也可以在证书吊销列表中加入吊销证书的理由：泄漏密钥泄漏 CA从属关系改变被取代业务终止CA 吊销证书意味着 CA 在证书正常到期之前撤销其使用该密钥对的有关声明。...在吊销的证书到期之后，CRL 中的有关条目会被删除，以缩短 CRL 列表的大小。在验证签名期间，应用程序可以检查 CRL，以确定给定证书和密钥对是否可信。...如果不可信，应用程序可以判断吊销的理由或日期对使用有疑问的证书是否有影响。如果日期早于该证书被吊销的日期，那么该证书仍被认为有效。应用程序在获得 CRL 之后，可以缓存下来，在它到期之前，一直使用它。

8595 0

国庆节前端技术栈充实计划（1）：使用Nginx配置HTTPS 服务器

在这种情况下，颁发机构提供一组与颁发的服务器证书(根证书)串接的捆绑证书，并让服务器证书(根证书)出现在合并后文件(证书链）的捆绑证书之前： $ cat www.example.com.crt bundle.crt...ssl_certificate www.example.com.chained.crt; ssl_certificate_key www.example.com.key; ... } 如果根证书和捆绑证书使用了错误的链接顺序...浏览器通常会存储他们接收到的由可信证书颁发机构签发的中间证书，因此被活跃使用的浏览器可能已经拥有所需的中间证书，并且可能不会抱怨没有包含捆绑证书的证书。...只有域名可以在SNI中传递，然而如果请求包含IP地址，一些浏览器可能错误地把服务器的IP地址作为其名称进行传递，我们不能依赖于这个。...如果nginx是以支持SNI方式构建的，当使用“-V”参数运行时，nginx会显示这一信息： $ nginx -V ... TLS SNI support enabled ...

9823 0

修复 SSL Certificate Problem，如何定位及解决问题

在开发过程中，使用 curl 进行请求或 git 克隆远程仓库时，可能会经常遇见一些 https 证书相关的错误，我们整理了一些常见的错误以及解决方案的汇总，保持更新，也欢迎你在评论中提供其他更好的方案...issuer certificate 原因：如果使用自签名证书（self-signed certificate）无法被认证时，git 或者 curl 等客户端程序无法信任该 server 的证书，且在...解决方案：遇到该类问题，临时的全局处理方案是去禁用证书验证, ⚠️ 要注意这种做法会有潜在的安全风险（可能引发中间人攻击 MitM attacks）。...sslCertPasswordProtected = 0 Tips：CA bundle 是一个包含根证书和中间证书的文件，与实际证书文件构成了完整的证书链。...--force-renewal --preferred-chain "ISRG Root X1" 在 Window 环境中，你可以尝试把 git 升级到最新版本，会解决该问题。

10.5K7 0

Openssl实现双向认证教程（附服务端客户端代码）

一、背景说明 1.1 面临问题最近一份产品检测报告建议使用基于pki的认证方式，由于产品已实现https，商量之下认为其意思是使用双向认证以处理中间人形式攻击。...// 如果验证不通过，那么程序抛出异常中止连接 if(SSL_get_verify_result(ssl) == X509_V_OK){ printf("证书验证通过\n"); } if (cert...，没有证书也会放行 // SSL_VERIFY_FAIL_IF_NO_PEER_CERT---要求客户端需要提供证书，但验证发现单独使用没有证书也会放行 SSL_CTX_set_verify(ctx,...// 如果验证不通过，那么程序抛出异常中止连接 if(SSL_get_verify_result(ssl) == X509_V_OK){ printf("证书验证通过\n"); } if (cert...，没有证书也会放行 // SSL_VERIFY_FAIL_IF_NO_PEER_CERT---要求客户端需要提供证书，但验证发现单独使用没有证书也会放行 SSL_CTX_set_verify(ctx,

4.6K7 2

SSL_TLS 攻击原理解析

，然后从客户支持的 CipherSuite 中选出一个应答,并发送给客户端公钥证书和选用的 HASH 算法 3、客户端收到公钥之后,利用自己的信任的根证书对收到的公钥进行验证.若通过,客户端随机生成对称密钥...再利用对称密钥解密 hash 值,对 hash 值进行验证.在验证成功后，会返回给客户端 Finish 报文。...利用私钥,生成根证书 openssl req -new -x509 -days 999 -key ca.key -out ca.crt 这里需要填写信息,可以仿照真实证书信息填写. 2...sslstrip 注意：此工具直接将客户端到中间人之间的流量变为明文，其它准备步骤相同，然后执行： sslstrip -l 8080 这样可以把 https 网站转化成 http，不再报证书错误...但是不是百分百的安全，当访问一个网站的时候，如果遇到证书错误，如果不是有足够的理由去信任的，请直接拒绝访问。

1.7K0 0

Apache OpenSSL生成证书使用

https://127.0.0.1:8443/，会提示安装证书，此处无论我们怎么安装证书还是会提示证书错误，因为这里提供的是服务器证书，而我们的服务器证书是由自己做出的CA签发的，而CA没有在受信任根证书目录...，无论怎么安装导入服务器证书一样无法识别，仍然会提示证书错误：因为我们得到的服务器证书是由CA证书签署，将CA证书导入受信任的根证书目录后，即不会再提示证书冲突了。...如果是，就继续执行协议;如果不是，客户浏览器就给客户一个警告消息：警告客户这个证书不是可以信赖的，询问客户是否需要继续。...⑤如果服务器要求客户的身份认证，服务器必须检验客户证书和签名随机数的合法性，具体的合法性验证过程包括：客户的证书使用日期是否有效，为客户提供证书的CA是否可靠，发行CA 的公钥能否正确解开客户证书的发行...CA的数字签名，检查客户的证书是否在证书废止列表(CRL)中。

1.4K3 0

安卓应用安全指南 5.4.3 通过 HTTPS 的通信高级话题

在执行 shell 脚本时，会询问访问证书机构的密码，因此你需要输入你在创建私有证书机构时设置的密码。之后，y / n总共被询问 2 次，每次需要输入y。...在 Android 操作系统中安装根证书后，所有应用都可以正确验证证书机构颁发的每个私有证书。...在这种情况下，应用将无法在握手过程中检测到攻击，即使在攻击者建立不正确的服务器或中间人攻击的情况下也是如此 - 因此，，可能会造成损失。...如果第三方证书机构（公钥基础设施的基础）的可信度受到损害，则可以使用固定来恢复通信的安全性。应用开发人员应评估自己的应用处理的资产级别，并决定是否实现这些测试。...如上所述，即使在使用来自不正当的第三方证书机构的证书的，中间人攻击的情况下，这也将允许应用检测握手过程中的不当行为。

7112 0

MySqlConnector连接选项「建议收藏」

如果ping服务器失败，连接池将自动打开一个新连接。这可以确保MySqlConnection在调用Open/ 之后处于有效的打开状态OpenAsync，代价是额外的服务器往返。...AllowZeroDateTime，允许零日期时间假如果设置为真正所有`DATE`，`DATETIME`和`TIMESTAMP`列都作为`MySqlDateTime`对象而不是`DateTime`...这允许从数据库中检索特殊的“零”日期值`0000-00-00`。如果false（默认）日期列返回为“DateTime”值，则抛出不可表示日期的异常。...您应该使用和不使用此选项来衡量性能，以确定它是否对您的环境有益。连接超时，连接超时，ConnectionTimeout 15 在终止尝试并生成错误之前等待连接到服务器的时间长度（以秒为单位）。...转换零日期时间，ConvertZeroDateTime 假如果为true，则MySqlDataReader.GetValue（）和MySqlDataReader.GetDateTime（）将为具有不允许值的日期或日期时间列返回

2.5K2 0

数字证书原理

但实际上真正的证书机构不会使用根证书来直接签发用户证书。原因是根证书非常重要，如果根证书的秘钥泄露了，会影响该根证书签发的所有用户证书，导致非常严重的安全风险。...为了避免根证书的安全风险，证书机构会采用根证书签发中间证书（intermediate certificate），然后使用中间证书来签发用户证书，这样如果一个中间证书出现了安全问题，可以废弃掉该中间证书而不影响根证书...多层证书链的生成和验证过程和前面试验中的两层（根证书直接生成用户证书）的情况是类似的，只是中间过程会多几个层级。以三层证书链的生成和验证过程举例说明。...每一级都会通过该DN来找到上级证书，并使用上级证书的public Key来验证本机证书的签名，如果中间有多个层级，则会重复该验证过程一直到自签名根证书，由于自签名根证书已经内置在操作系统中，属于系统信任的根证书...通过这种方式还可以实现CA的根证书更新，在进行根证书更新时，CA生成一对新的秘钥对和根证书，然后用新的私钥为老的公钥签名生成一个中间证书，并用老的私钥为新的公钥签名生成一个中间证书。

2.5K6 0

Corda网络的证书签发

Corda doc 3.2 - Permissioning Structure 证书签发过程在开发模式下，即节点的配置文件 node.conf 中devMode=true，如果nodekeystore.jks...这样设计的初衷是为了让开发者快速验证，但同时也会导致对生产要求的忽视。几乎所有企业都有一套自己完善的证书管理机制和审批流程，所以利用现有的机制和流程加固证书安全也是一项不容忽视的任务。...理想的情况下，企业的cert部门会包揽上图中所有的任务，每个节点需要做的事情就是提交CSR（Certificate Signing Request）文件，然后等待一封邮件，附件中包含申请的数字证书、中间...如果真的有中间CA的证书，同样也需要导入到这个keystore文件。...keystore keytool -importcert -alias cordaclienttls -file sslkeystore.crt -keystore sslkeystore.jks 注意这一步操作，如果根证书没有事先导入

1.6K1 0

Istio安全-证书管理(istio 系列六)

，该证书链包含负载和根CA之间的所有中间CA，在此例子中，它包含了istio的CA签名证书，因此cert-chain.pem和ca-cert.pem是相同的。...本节中会校验插入到CA中的证书是否签发了负载证书。...由于CA证书是自签的，因此openssl命令会返回verify error:num=19:self signed certificate in certificate chain错误。...openssl x509 -in samples/certs/ca-cert.pem -text -noout > /tmp/ca-cert.crt.txt 校验证书链从根证书到负载证书 $ openssl...检查提供的DNS证书在配置istio生成DNS证书并保存到secret后，需要校验提供的证书是否能够正确运行。

3.3K3 0

IIS服务器域名证书续订

我们知道，在Windows的IIS服务器上，使用域名证书开启HTTPS并不是非常方便，在IIS 7.5及之前的版本上，添加HTTPS站点时，并不能指定主机头（即域名），需要加完之后，到IIS的配置文件中去修改配置...，增加了一定的难度；而且如果之后相关的配置有变动，也可能会影响到之前的HTTPS站点，有很多坑。...而域名证书到期，需要换证书的话，如果之前添加过很多个HTTPS站点，都会受到影响，需要一个一个的站点重新选择证书，重新修改IIS的配置文件，是一个让人头疼的操作。...使用OpenSSL进行证书格式转换格式转完之后，把生成的cer文件上传到服务器，随便找个地方放着。打开IIS管理器，选中IIS管理器的网站根，在右侧功能区，打开IIS下的“服务器证书” ?...完成之后就已经完成了，我们随便打开一个https网站，查看下证书详情，会发现过期日期已经是最新的了。

9.7K6 0

【Nginx37】Nginx学习：SSL模块（一）简单配置与指令介绍

如果你是从云服务商那里买的或者找的免费申请的，在收到邮件下载之后，获得的也是这两个文件。然后我们就直接用它们进行配置吧。...会直接报出这样的错误信息。...ssl_certificate file; 如果除了主证书之外还应指定中间证书，则应按以下顺序在同一文件中指定它们：首先是主证书，然后是中间证书。 PEM 格式的密钥可以放在同一个文件中。...可以指定值 data:$variable 来代替文件 (1.15.10)，它从变量加载证书而不使用中间文件。请注意，不恰当地使用此语法可能会产生安全隐患，例如将密钥数据写入错误日志。...可以指定值 data:$variable 代替文件 (1.15.10)，该文件从变量加载密钥而不使用中间文件。请注意，不恰当地使用此语法可能会产生安全隐患，例如将密钥数据写入错误日志。

1.1K2 0

Nginx 配置https及wss

部署单页应用 SPA 时，我们通常使用 Nginx 做中间层进行转发代理。...Nginx 已在运行，会抛出 cp: 无法创建普通文件"/usr/local/nginx/sbin/nginx": 文本文件忙错误！...-pubout -out private_nopwd.key # 查看相关秘钥 $ openssl rsa -noout -text -in public.key 生成证书请求文件： $ openssl...proxy_set_header Connection "upgrade"; # 默认60s断开连接 proxy_read_timeout 60s;； } 注意：默认情况下，如果代理服务器在...或者，代理服务器可以配置为定期发送WebSocket ping帧以重置超时并检查连接是否仍然存在。

3.6K4 1

https原理以及golang基本实现

CA签发的证书，浏览器都是可以认证的，要是在与服务器通信的时候，收到一个没有权威CA认证的证书，就会报出提醒不受信任证书的错误，就像登录12306一样，但是也可以选择接受。...在自己的一些项目中，通常是自己签发一个ca根证书，之后这个根证书签发一个server.crt，以及server.key给服务端，server.key是服务端的私钥，server.crt包含了服务端的公钥还有服务端的一些身份信息...因此如果要编写一个可以对self-signed证书进行校验的接收端程序的话，首先我们要做的就是建立一个属于自己的CA，用该CA签发我们的server端证书，之后给客户端发送信息的话，需要对这个根证书进行指定...server端完成相关工作之后，会发一个ChangeCipherSpec给client，通知client说明自己已经切换到相关的加解密模式，之后发一段加密信息给client看是否正常。...说明是认证没有通过，因为客户端这面并没有提供可以信赖的根证书来对服务端发过来的证书进行验，/CN使用的直接是ip地址，就会报下面的错误： Get https://10.183.47.206:8081:

9013 0

Ingress企业实战：HTTPS证书管理与双向认证篇

它通常为一个 CA 证书的有效期：证书起始日期和时间以及终止日期和时间；指明证书在这两个时间内有效。...主题信息：证书持有人唯一的标识，在 Internet上应该是唯一的发布者的数字签名：这是使用发布者私钥生成的签名，以确保这个证书在发放之后没有被撰改过。...这种情况下，客户端会检查服务器提供的数字证书是否有效，以确定服务器是否合法。服务器不会验证客户端的身份。这种情况下，客户端可以确认它正在与合法的服务器进行通信，但服务器不能确定其与合法客户端通信。...这种情况下，双方都会使用数字证书来证明自己的身份。客户端在连接到服务器时会发送自己的数字证书，服务器会验证该证书的合法性。同时，服务器也会发送数字证书给客户端，客户端会验证服务器的证书。...4096 Enter PEM pass phrase: # 密码：12345678 Verifying - Enter PEM pass phrase: # 通过CA根私钥签发CA根证书 $ openssl

8404 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云