Проверка сертификатов
Приостановка действия одного из сертификатов и внеочередная публикация CRL
Приостановить действие одного из сертификатов в разделе Сертификаты
Перевыпустить CRL на Главной странице
Скачать CRL, убедиться, что приостановленный сертификат содержится в CRL:
#!/usr/bin/env bash set -euo pipefail # Имя файла crl CRL="crl-2025-10-01.crl" # Просмотр содержимого файла openssl crl -in "$CRL" -noout -text
Проверка сертификатов через CRL (openssl)
Скачайте сертификат CA в формате .pem
Используйте сертификат пользователя (из сценария выше)
Используйте crl (из сценария выше)
Проверка цепочки доверия
# Сертификат пользователя (который проверяем) CER="testuser.cer.pem" # Сертификат CA (или цепочка) CA="ca.pem" # Проверка цепочки openssl verify -CAfile "$CA" "$CER"
Если цепочка корректна, вывод будет:
testuser.cer.pem: OK
Проверка сертификата по crl
# Сертификат пользователя (который проверяем) CER="testuser.cer.pem" # Сертификат CA (или цепочка) CA="ca.pem" # Имя файла crl CRL="crl-2025-10-01.crl" # Объеденение сертификата CA и CRL (требование openssl) cat "$CA" "$CRL" > ca_with_crl.pem # Проверка сертификата openssl verify -crl_check -CAfile ca_with_crl.pem "$CER"
Для валидных сертификатов вывод будет:
testuser.cer.pem: OK
Для отозванных:
O=Avanpost, OU=, CN=web01.avanpost.ru error 23 at 0 depth lookup: certificate revoked error web01.avanpost.ru.pem: verification failed
Проверка сертификатов через OCSP (openssl)
# Сертификат пользователя (который проверяем) CER="testuser.cer.pem" # Сертификат CA (или цепочка) CA="ca.pem" # OCSP Url CRL="http://localhost/ocsp/status" # Проверка сертификата через OCSP openssl ocsp -issuer "$CA" -url "$OCSP_URL" -cert "$CER"
Для валидных сертификатов вывод будет:
testuser.cer.pem: good
This Update: Oct 1 21:06:23 2025 GMT
Next Update: Oct 2 21:06:23 2025 GMT
Для отозванных:
Response verify OK
web01.avanpost.ru.pem: revoked
This Update: Oct 1 21:04:14 2025 GMT
Next Update: Oct 2 21:04:14 2025 GMT
Revocation Time: Oct 1 19:48:14 2025 GMT