Tải bản đầy đủ (.docx) (22 trang)

PHÂN TÍCH mã độc LIÊN QUAN đến NHÓM TIN tặc APT32

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (447.83 KB, 22 trang )

CHƯƠNG 1: TỔNG QUAN VỀ CHỨNG THƯ SỐ VÀ MÃ HĨA
TỆP TIN........................................................................................................................2
1.1................................................................... Tổng quan về chứng thư số 2
1.2.............................................................................Mã hóa hệ thống tập tin
3
1.2.1........................................................................................Mã hóa tập tin
3
1.2.2............................................................................Ứng dụng của mã hóa
6
1.3.Bộ thư viện OpenSSL..............................................................................6
1.3.1...........................................................................Giới thiệu về OpenSSL
6
1.3.2.................................................................Các phiên bản của OpenSSL
6
1.3.3............................Các chức năng đơn giản của chương trình OpenSSL
7
CHƯƠNG 2: DEMO.........................................................................................8
3.1....................................................................................................Tổng quan
8
3.1.1...................................................................................................Ý tưởng
8
3.1.2................................................................................................ Công cụ
8
3.2....................................................................................................Thực hành
8


1


CHƯƠNG 1: TỔNG QUAN VỀ CHỨNG THƯ SỐ VÀ MÃ HÓA TỆP TIN


1.1.

Tổng quan về chứng thư số

Chứng thư số hay cịn gọi là chứng thư điện tử, có tác dụng giống như
chứng minh thư nhân dân hoặc hộ chiếu của bạn vậy, nó được dùng khi xác nhận
danh tính của một đối tượng nào đấy ví dụ như phần mềm, ứng dụng, máy chủ
hoặc đại diện cho một cá nhân, một tổ chức nào ấy khi tham gia các giao dịch
điện tử, nhằm bảo đảm an toàn trong quá trình giao dịch điện tử.

a. Chứng thư số buộc buộc phải đảm bảo chứ đủ các thông tin sau:


Tên chủ thể, chủ sở hữu chứng thư số



Khóa cơng khai (Public key)



Một số thông tin khác như: thông tin về nhà hàng, hạn sử dụng, thông tin về kiểu…



Chữ ký số của người cấp chứng thư đấy

b. Ứng dụng của chứng thư số để làm gì?

Dựa vào máy chủ để xác định danh tính của đối tượng đang tiến hành giao

dịch điện tử. Đảm bảo sự an toàn trong thương mại điện tử.
c. Ai phân phối chứng thư số ?

Những nhà cung cấp dịch vụ chữ ký số chính là người phân phối chứng
minh số
–> Đăng kí chứng thư số
d. Quy trình cấp chứng thư số

Bước 1: khách hàng chuẩn bị gần như hồ sơ về thông tin cá nhân hoặc
công ty như tên, giấy phép buôn bán và gửi thông tin đăng ký tới các nhà cung
ứng dịch vụ chữ ký số NewCA mà mình vừa đưa danh sách ở tại
2


Bước 2: Những nơi cung ứng dịch vụ chữ ký số sẽ chuẩn xác thông tin
của cá nhân, siêu thị mang đúng mang thông tin tại trung tâm dữ liệu quốc gia,
nếu đúng thông tin hồ sơ đăng tải tải ký chứng thư số sẽ được chấp nhận. Thông
tin khách hàng sẽ được nạp vào usb token hoặc smart card.
Bước 3: Nhà cung ứng sẽ tạo ra NewCA gửi toàn bộ thông tin về công ty
A tới Trung tâm chứng thực chữ ký số quốc gia (Root CA) – Trực thuộc cục
Ứng dụng kỹ thuật thông tin của Bộ Thông tin và Truyền thông.
Bước 4: Siêu thị đăng ký tài khoản mang máy chủ của Tổng cục thuế
(Tên đăng tải tải nhập là Mã số thuế của nha hang), đồng thời gửi khóa cơng
khai
Bước 5: Máy chủ thuế gửi u cầu xác nhận thông tin tới Trung tâm
chứng thực chữ ký số quốc gia.
Bước 6: Trung tâm chứng nhận chữ ký số quốc gia (Root CA) trả lại kết
quả xác nhận với cơ quan thuế.
Sau khi nhận được xác nhận thơng tin về cơng ty hồn tồn chính xác,
cơng ty ấy mang thể khai thuế qua mạng mang cơ quan thuế và thực hiện các

giao dịch điện tử khác yêu cầu với chữ ký số và chứng minh số.
1.2.

Mã hóa hệ thống tập tin

1.2.1. Mã hóa tập tin
Trong ngành mật mã học, mã hóa là q trình dùng để biến thông tin từ
dạng này sang dạng khác và ngăn những người khơng phận sự tiếp cận vào
thơng tin đó. Bản thân việc mã hóa khơng ngăn chặn việc thơng tin bị đánh cắp,
có điều thơng tin đó lấy về cũng khơng xài được, khơng đọc được hay hiểu được
vì đã được làm biến dạng đi rồi.
Mã hóa sẽ mang lại tính an tồn cao hơn cho thơng tin, đặc biệt là trong
thời đại Internet ngày nay, khi mà thông tin phải đi qua nhiều trạm trung chuyển
trước khi đến được đích. Nếu khơng có mã hóa, khả năng thơng tin của bạn sẽ bị
ai đó xem trộm trong q trình truyền tải rồi lợi dụng để làm việc xấu là hồn
tồn hiện hữu.
Về lý thuyết, bất kì thơng điệp mã hóa nào cũng có thể bị giải mã mà
khơng cần biết về thuật tốn hoặc các khóa mã hóa (sẽ nói thêm ở bên dưới),
vấn đề là mất bao lâu và nguồn lực tính tốn cần thiết là như thế nào.
Các loại mã hóa dữ liệu thơng dụng
3


Hiện có 4 biện pháp mã hố dữ liệu thơng dụng:
a. Mã hóa cổ điển

Mã hố cổ điển là cách đơn giản nhất, tồn lại lâu nhất trên thế giới
và khơng cần khóa bảo mật, chỉ cần người gửi và người nhận cùng biết về thuật
toán này là được.
Tuy nhiên, giải pháp mã hóa này được xem là khơng an tồn, vì nếu một

người thứ ba biết được thuật tốn thì xem như thơng tin khơng cịn bảo mật nữa.
Việc giữ bí mật thuật tốn trở nên rất quan trọng, và khơng phải ai cũng có thể
giữ bí mật đó một cách trọn vẹn. Có khả năng người đó sẽ rị rỉ ra, hoặc có ai đó
ngồi giải ra thuật tốn thì xem như chúng ta thua cuộc.
b. Mã hóa một chiều (hash)

Phương pháp này dùng để mã hóa những thứ khơng cần dịch lại ngun
bản gốc. Ví dụ, khi bạn đăng nhập vào Tinh tế, mật khẩu mà bạn nhập sẽ được
chuyển thành một chuỗi dài các kí tự bằng một thứ gọi là hash function (tạm
dịch: hàm băm).
Chuỗi này sẽ được lưu vào cơ sở dữ liệu, chứ khơng lưu mật khẩu thơ của
bạn nhằm tăng tính bảo mật. Lỡ hacker có trộm dữ liệu thì cũng chỉ thấy những
thứ như FIiyXYB547bhvyuuUIbZ chứ không biết password thật của bạn là gì.
Mỗi lần bạn đăng nhập, hash function sẽ “băm” password thật của bạn
thành chuỗi kí tự rồi so sánh nó với cái trong cơ sở dữ liệu, nếu khớp thì đăng
nhập tiếp, khơng thì báo lỗi. Chúng ta khơng có nhu cầu dịch ngược chuỗi nói
trên ra lại thành password thật để làm gì cả.
Nói thêm về hash function , nhiệm vụ của nó là chuyển một chuỗi có độ
dài bất kì thành chuỗi kí tự có độ dài cố định. Ví dụ, nếu bạn quy định chuỗi kí
tự sau khi “băm” sẽ dài 10 kí tự thì dù đầu vào của bạn có bao nhiêu chữ đi nữa
thì kết quả nhận được sẽ ln là 10 và chỉ 10 kí tự mà thơi.
Đặc điểm của hash function là trong cùng 1 điều kiện, dữ liệu đầu vào
như nhau thì kết quả sau khi băm cũng sẽ y hệt như nhau. Nếu chỉ đổi một chút
xíu thơi, có khi chỉ là 1 kí tự nhỏ thì chuỗi kết quả sẽ khác hồn tồn.
Cũng vì vậy mà người ta dùng hash function để kiểm tra tính tồn vẹn của
dữ liệu. Ví dụ, trước khi gửi một tập tin Word cho người bạn thì mình dùng mã
hóa một chiều và tạo ra được chuỗi sau băm là DFYUBUfyeufuefu.
Khi người bạn đó tải tập tin về máy, nếu nó băm và cũng nhận được chuỗi
DFYUBUfyeufuefu thì có nghĩa là tập tin của mình khơng bị can thiệp bởi


4


hacker, cịn nếu kết quả khác thì có nghĩa là q trình truyền tải có thể đã bị lỗi
làm mất một phần dữ liệu, hoặc tệ hơn là có ai đó đã xén bớt hay thêm vào thứ
gì đó rồi.
Hiện nay, hai thuật toán hash function thường được dùng nhất là MD5 và
SHA. Nếu bạn tải tập tin trên mạng thì đơi khi sẽ thấy dịng chữ MD5 do tác giả
cung cấp, mục đích là để bạn so sánh file đã tải về với file gốc xem có bị lỗi gì
khơng.
c. Mã hóa đối xứng (symmetric key encryption)

Chúng ta bắt đầu đi tìm hiểu về việc bảo mật có dùng khóa. Khóa ở đây
được gọi là “key”, nó là mấu chốt để thuật tốn có thể nhìn vào mà biết đường
mã hóa và giải mã dữ liệu.
Cũng giống như cánh cửa nhà của bạn, nếu bạn có khóa thì bạn có thể
nhanh chóng đi vào trong, cịn khơng có khóa thì bạn vẫn có thể đục cửa hay
kêu thợ sửa khóa, nhưng sẽ tốn thời gian và cơng sức hơn. Mỗi chìa khóa cho
mỗi ổ khóa trên thế giới là duy nhất với các đường rãnh khơng chìa nào giống
chìa nào – key mã hóa cũng tương tự như vậy.
Ở phương pháp mã hóa đối xứng, chìa khóa để mã hóa và giải mã là như
nhau nên người ta mới gọi là đối xứng, tiếng Anh là symmetric. Theo một số tài
liệu thì mã hóa đối xứng là giải pháp được sử dụng nhất phổ biến hiện nay.
Giả sử mình cần mã hóa một tập tin để gửi cho bạn, thì quy trình sẽ như
sau:
1. Mình sử dụng một thuật tốn mã hóa, cộng với khóa của mình để mã hóa
file (cách tạo khóa tạm thời khơng bàn đến, chủ yếu là dùng các giải thuật
ngẫu nhiên).
2. Bằng cách nào đó, mình giao cho bạn một khóa giống với mình, có thể là
giao trước hoặc sau khi mã hóa tập tin đều được.

3. Khi bạn nhận tập tin, bạn sẽ dùng khóa này để giải mã ra tập tin gốc có
thể đọc được.
d. Mã hóa bất đối xứng (public key encryption)

Nếu như ở trên, khóa mã hóa và khóa giải mã đều giống nhau thì với
phương phápbất đối xứng, hai khóa này hồn tồn khác nhau. Để phân biệt giữa
hai khóa thì người ta gọi khóa mã hóa là public key, cịn khóa giải mã là private
key.

5


Public, như cái tên đã gợi ý, mang tính chất “cơng cộng” và có thể được
sử dụng để mã hóa dữ liệu bởi bất kì ai. Tuy nhiên, chỉ người nào nằm trong tay
private key mới có khả năng giải mã dữ liệu để xem.
Quy trình mã hóa bất đối xứng như sau:
1. Bên nhận sẽ tạo ra một cặp public + private key. Người này giữ lại private
key cho riêng mình và cất cẩn thận, cịn public key thì chuyển cho bên gửi
(dưới hình thức email, copy qua USB, v.v) hoặc post đâu đó lên mạng.
2. Bên gửi sử dụng public key để mã hóa dữ liệu, sau đó gửi file đã mã hóa
lại cho bên nhận.
3. Bên nhận lúc này sẽ xài private key đã lưu khi nãy để giải mã dữ liệu và
sử dụng.
Một nhược điểm của mã hóa bất đối xứng đó là tốc độ giải mã chậm
hơn so với mã hóa đối xứng, tức là chúng ta phải tốn nhiều năng lực xử lý của
CPU hơn, phải chờ lâu hơn, dẫn đến “chi phí” cao hơn. Khoảng thời gian lâu
hơn là bao nhiêu thì cịn tùy vào thuật tốn mã hóa, cách thức mã hóa và key.
1.2.2. Ứng dụng của mã hóa
Mã hóa chủ yếu để tránh những cái nhìn soi mói của những người tị mị
tọc mạch, nói chung là những người mà bạn khơng muốn thơng tin của mình lộ

ra ngồi. HTTPS là một ví dụ, nó dùng thuật tốn mã hóa TLS (lai giữa đối
xứng và bất đối xứng) để mã hóa dữ liệu của bạn khi gửi thơng tin giữa trình
duyệt và máy chủ.
Bằng cách này, những kẻ tọc mạch với hi vọng đánh cắp dữ liệu trong lúc
dữ liệu đang được gửi đi sẽ khơng biết chính xác dữ liệu là gì (do chúng khơng
nắm được key trong tay).
1.3.

Bộ thư viện OpenSSL

1.3.1.

Giới thiệu về OpenSSL

Opensssl là 1 thư viện mã nguồn mở nổi tiếng nhât cho truyền thơng bảo
mật có nguồn gốc từ SSLeay. Thư viện SSL kế thừa tất cả các tính năng của tất
cả các phiên bản cỉa giao thức SSL và TLSv1. Thư viện mật mã cung cấp các
thuật tốn cho mật mã khóa đối xứng, mật mã khóa cơng khai, hàm bawem mật
mã, tạo ra số ngẫu nhiên giả lập và xử lý chứng thư số. Các dịch vụ được cung
cấp bởi thư viện này được sử dụng bởi các công cụ của SSL, TLS và S/MINE và
chúng cũng được sử dụng để bổ sung cho SSH, OpenPGP và các chuẩn mật mã
khác
6


1.3.2.

Các phiên bản của OpenSSL

Các thư viện của OpensSL được viết bằng ngơn ngữ lập trình C, nó hoạt

động trên tất cả các nền tảng lớn, bao gồm tất cả các hệ điều hành Unix và tất cả
các phiên bản của Microsoft Windows
Các phiên bản phát hành chính
Phiên bản
0.9.1c
0.9.2b
0.9.3
0.9.4
0.9.5
0.9.6
0.9.7
0.9.8
1.0.0
1.0.1

1.3.3.

Ngày phát hành
23/12/1998
22/03/1999
25/05/1999
09/08/1999
28/02/2000
24/09/2000
31/12/2002
05/07/2005
29/03/2010
14/03/2012

Các chức năng đơn giản của chương trình OpenSSL


Chương trình OpenSSL là một cơng cụ dịng lệnh để sử dụng các chức
năng mật mã của các thư viện Crypto của OpenSSL:
+ Sử dụng để băm dữ liệu
+Mã hóa dữ liệu
+Tạo mật khẩu đã được mã hóa
+Ký và xác thực chữ ký
+Tạo khóa RSA, DSA hay EC
+Kiểm tra số nguyên tố
+ Kiểm tra hiệu suất phần cứng của hệ thống

7


CHƯƠNG 2: DEMO
3.1.

Tổng quan

3.1.1.

Ý tưởng
+ Sử dụng OpenSSL để thiết lập CA gốc. Sử dụng CA gốc để tạo m ột CA
trung gian. Sau đó sử dụng CA trung gian để ký chứng chỉ người dùng cuối.
+

3.1.2.

Công cụ
+

+

3.2.

Thực hành

a. Tạo Root CA

Tạo và di chuyển vào một thư mục cho ca gốc:
mkdir -p ~/SSLCA/root-ca/
cd ~/SSLCA/root-ca/

Tạo khóa RSA SHA-256 dài 8192 bit cho CA gốc:
openssl genrsa -aes256 -out rootca.key 4096

Ví dụ đầu ra:
Generating RSA private key, 8192 bit long modulus
.........++
.............................................................................................................
.......++
e is 65537 (0x10001)

Nếu bạn muốn bảo vệ khóa này bằng mật khẩu, hãy thêm tùy chọn aes256.
Tạo chứng chỉ CA gốc tự ký ca.crt; bạn sẽ cần cung cấp danh tính cho
CA gốc của mình:
openssl req -sha256 -new -x509 -days 1826 -key rootca.key -out
rootca.crt

8



Ví dụ đầu ra:

Tạo một vài tệp trong đó CA sẽ lưu trữ sê-ri của nó, để cho biết mỗi
chứng chỉ sẽ có 1 số sê-ri ở đây là bắt đầu từ 1000:
touch certindex
echo 1000 > certserial
echo 1000 > crlnumber

Đặt tệp cấu hình CA. Tệp này có sơ khai cho các điểm cuối CRL và
OCSP.
# vim ca.conf
[ ca ]
default_ca = myca

9


[ crl_ext ]
issuerAltName=issuer:copy
authorityKeyIdentifier=keyid:always
[ myca ]
dir = ./
new_certs_dir = $dir
unique_subject = no
certificate = $dir/rootca.crt
database = $dir/certindex
private_key = $dir/rootca.key
serial = $dir/certserial
default_days = 730

default_md = sha256
policy = myca_policy
x509_extensions = myca_extensions
crlnumber = $dir/crlnumber
default_crl_days = 730
[ myca_policy ]
commonName = supplied
stateOrProvinceName = supplied
countryName = optional
emailAddress = optional
organizationName = supplied
organizationalUnitName = optional
[ myca_extensions ]
basicConstraints = critical,CA:TRUE
keyUsage = critical,any
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
keyUsage = digitalSignature,keyEncipherment,cRLSign,keyCertSign
extendedKeyUsage = serverAuth
crlDistributionPoints = @crl_section

10


subjectAltName = @alt_names
authorityInfoAccess = @ocsp_section
[ v3_ca ]
basicConstraints = critical,CA:TRUE,pathlen:0
keyUsage = critical,any
subjectKeyIdentifier = hash

authorityKeyIdentifier = keyid:always,issuer
keyUsage = digitalSignature,keyEncipherment,cRLSign,keyCertSign
extendedKeyUsage = serverAuth
crlDistributionPoints = @crl_section
subjectAltName = @alt_names
authorityInfoAccess = @ocsp_section
[alt_names]
DNS.0 = Sparkling Intermidiate CA 1
DNS.1 = Sparkling CA Intermidiate 1
[crl_section]
URI.0 = />URI.1 = />[ocsp_section]
caIssuers;URI.0 = />caIssuers;URI.1 = />OCSP;URI.0 = />OCSP;URI.1 = />b. Tạo CA Trung gian1

Tạo khóa riêng của CA trung gian:
openssl genrsa -out subca.key 4096
Tạo CSR CA trung gian1:
openssl req -sha256 -new -key subca.key -out subca.csr

11


Hãy chắc chắn rằng chủ đề (CN) của trung gian khác với gốc.
Ký CSR trung gian1 với Root CA:
openssl ca -batch -config ca.conf -notext -in subca.csr -out subca.crt
Kết quả ví dụ:
Using configuration from ca.conf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName


:PRINTABLE:'VN'

stateOrProvinceName :ASN.1 12:'HN'
localityName
organizationName

:ASN.1 12:'HN'
:ASN.1 12:'VN'

organizationalUnitName:ASN.1 12:'KT'
commonName

:ASN.1 12:'subca.com'

Certificate is to be certified until Mar 30 15:07:43 2017 GMT (730
days)
Write out database with 1 new entries
Data Base Updated
Tạo CRL :

12


openssl ca -config ca.conf -gencrl -keyfile rootca.key -cert rootca.crt
-out rootca.crl.pem
openssl crl -inform PEM -in rootca.crl.pem -outform DER -out
rootca.crl
Tạo CRL sau mỗi chứng chỉ bạn ký với CA.
Nếu bạn cần thu hồi chứng chỉ trung gian này:

openssl ca -config ca.conf -revoke subca.crt -keyfile rootca.key -cert
rootca.crt
c. Cấu hình CA trung gian 1

Tạo một thư mục mới cho trung gian này và di chuyển khóa và file chứng
thực của subCA vào thư mục đó:
mkdir ~/SSLCA/sub-ca/
cd ~/SSLCA/sub-ca/

Sao chép chứng chỉ trung gian và khóa từ Root CA:
cp ~/SSLCA/root-ca/subca.key ./
cp ~/SSLCA/root-ca/subca.crt ./

Tạo các tệp chỉ mục:
touch certindex
echo 1000 > certserial
echo 1000 > crlnumber

Tạo một tệp mới có tên ca.conf
# vim ca.conf
[ ca ]
default_ca = myca
[ crl_ext ]

13


issuerAltName=issuer:copy
authorityKeyIdentifier=keyid:always
[ myca ]

dir = ./
new_certs_dir = $dir
unique_subject = no
certificate = $dir/subca.crt
database = $dir/certindex
private_key = $dir/subca.key
serial = $dir/certserial
default_days = 365
default_md = sha256
policy = myca_policy
x509_extensions = myca_extensions
crlnumber = $dir/crlnumber
default_crl_days = 365
[ myca_policy ]
commonName = supplied
stateOrProvinceName = supplied
countryName = optional
emailAddress = optional
organizationName = supplied
organizationalUnitName = optional
[ myca_extensions ]
basicConstraints = critical,CA:FALSE
keyUsage = critical,any
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage = serverAuth
crlDistributionPoints = @crl_section
subjectAltName = @alt_names
authorityInfoAccess = @ocsp_section


14


[alt_names]
DNS.0 = example.com
DNS.1 = example.org
[crl_section]
URI.0 = />URI.1 = />[ocsp_section]
caIssuers;URI.0 =
/>caIssuers;URI.1 = />OCSP;URI.0 = />OCSP;URI.1 = />
Tạo CRL trống (cả trong PEM và DER):
openssl ca -config ca.conf -gencrl -keyfile subca.key -cert subca.crt
-out intermediate1.crl.pem
openssl crl -inform PEM -in subca.crl.pem -outform DER -out
subca.crl
d.

Tạo chứng chỉ người dùng cuối

Chúng tôi sử dụng CA trung gian mới này để tạo chứng chỉ người dùng
cuối. Lặp lại các bước này cho mọi chứng chỉ người dùng cuối mà bạn muốn
đăng nhập với CA.
mkdir enduser

Tạo khóa riêng của người dùng cuối:
openssl genrsa -out enduser /enduser-example.com.key 2048

Tạo CSR của người dùng cuối:


15


openssl req -new -sha256 -key enduser/enduser-example.com.key
-out enduser/enduser-example.com.csr

Ký CSR của người dùng cuối với CA trung gian :
openssl ca -batch -config ca.conf -notext -in enduser/enduserexample.com.csr -out enduser/enduser-example.com.crt

Ví dụ đầu ra:
Using configuration from ca.conf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName

:PRINTABLE:'VN'

stateOrProvinceName :ASN.1 12:'HN'
localityName
organizationName

:ASN.1 12:'HN'
:ASN.1 12:'MM'

organizationalUnitName:ASN.1 12:'MH'
commonName

:ASN.1 12:'enduser.com'


Certificate is to be certified until Mar 30 15:18:26 2016 GMT (365
days)
Write out database with 1 new entries

16


Data Base Updated

Tạo CRL (cả trong PEM và DER):
openssl ca -config ca.conf -gencrl -keyfile subca.key -cert subca.crt
-out intermediate1.crl.pem
openssl crl -inform PEM -in subca.crl.pem -outform DER -out
subca.crl

Tạo CRL sau mỗi chứng chỉ bạn ký với CA.
Nếu bạn cần thu hồi chứng chỉ người dùng cuối này:
openssl ca -config ca.conf -revoke enduser/enduser-example.com.crt
-keyfile subca.key -cert subca.crt

Ví dụ đầu ra:
Using configuration from ca.conf
Revoking Certificate 1000.
Data Base Updated

Tạo tệp chuỗi chứng chỉ bằng cách ghép các chứng chỉ Root và trung gian
1 với nhau.
cat ../root/rootca.crt subca.crt > enduser/enduserexample.com.chain
e.


Xác nhận chứng chỉ

Xác nhận chứng chỉ
Bạn có thể xác nhận nó dựa trên CRL. Ghép nối PEM CRL và chuỗi
với nhau trước:
cat ../root/rootca.crt subca.crt subca.crl.pem > enduser/enduserexample.com.crl.chain
Xác nhận chứng chỉ:

17


openssl verify -crl_check -CAfile enduser/enduserexample.com.crl.chain enduser/enduser-example.com.crt
Đầu ra khi không bị thu hồi:
enduser/enduser-example.com.crt: OK

Chuyển đổi file chứa khóa để dưới sang dạng *.p12

18


19


f.

Mã hóa dữ liệu

20



21



×