建立結束日期為過去的自簽名證書

Question 1

過去有兩種建立證書的方法。偽造時間 (1)(2)，或在簽署證書時定義時間間隔 (3)。

1）首先，關於偽造時間：要讓一個程式認為它的日期與系統不同，請查看libfaketime和faketime

要在 Debian 中安裝它：

sudo apt-get install faketime

然後您可以在命令faketime之前使用openssl。

使用範例：

$faketime 'last friday 5 pm' /bin/date
Fri Apr 14 17:00:00 WEST 2017
$faketime '2008-12-24 08:15:42' /bin/date
Wed Dec 24 08:15:42 WET 2008

從man faketime：

給定的命令將被欺騙以相信當前系統時間是時間戳中指定的時間。除非另有說明，否則掛鐘將從該日期和時間繼續運行（請參閱進階選項）。實際上，faketime 是 libfaketime 的簡單包裝，它使用 LD_PRELOAD 機制載入一個小函式庫，該函式庫攔截對 time(2) 和 fstat(2) 等函數的系統呼叫。

例如，在您的情況下，您可以很好地定義 2008 年的日期，然後建立有效期為 2 年至 2010 年的憑證。

faketime '2008-12-24 08:15:42' openssl ...

附帶說明一下，這個實用程式可以在多個 Unix 版本中使用，包括 MacOS，作為任何類型程式的包裝器（不限於命令列）。

需要澄清的是，只有使用此方法載入的二進位檔案（及其子檔案）的時間才會更改，並且偽造時間不會影響系統其餘部分的當前時間。

2）正如@Wyzard所說，您還擁有datefudge與使用非常相似的包faketime。

由於差異，datefudge不影響fstat（即不改變文件創建時間）。它還有自己的庫 datefudge.so，它使用 LD_PRELOAD 載入。

它還具有一個 -s static time始終返回所引用的時間的位置，無論已經過去了多少秒。

$ datefudge --static "2007-04-01 10:23" sh -c "sleep 3; date -R"
Sun, 01 Apr 2007 10:23:00 +0100

3）除了偽造時間之外，更簡單的是，還可以定義證書有效期的起點和終點簽名OpenSSL 中的憑證。

您在問題中連結到的問題的誤解是，憑證有效性不是在請求時（在 CSR 請求時）定義的，而是在簽名時定義的。

使用建立自簽名憑證時openssl ca，新增選項-startdate和-enddate。

根據 openssl 來源，這兩個選項中的日期格式openssl/crypto/x509/x509_vfy.c是 ASN1_TIME 又稱 ASN1UTCTime：格式必須是 YYMMDDHHMMSSZ 或 YYYYMMDDHHMMSSZ。

引用openssl/crypto/x509/x509_vfy.c：

int X509_cmp_time(const ASN1_TIME *ctm, time_t *cmp_time)
{
    static const size_t utctime_length = sizeof("YYMMDDHHMMSSZ") - 1;
    static const size_t generalizedtime_length = sizeof("YYYYMMDDHHMMSSZ") - 1;
    ASN1_TIME *asn1_cmp_time = NULL;
    int i, day, sec, ret = 0;

    /*
     * Note that ASN.1 allows much more slack in the time format than RFC5280.
     * In RFC5280, the representation is fixed:
     * UTCTime: YYMMDDHHMMSSZ
     * GeneralizedTime: YYYYMMDDHHMMSSZ
     *
     * We do NOT currently enforce the following RFC 5280 requirement:
     * "CAs conforming to this profile MUST always encode certificate
     *  validity dates through the year 2049 as UTCTime; certificate validity
     *  dates in 2050 or later MUST be encoded as GeneralizedTime."
     */

來自變更日誌（2038 bug？） - 此變更日誌只是一個附加腳註，因為它只涉及那些直接使用 API 的人。

1.1.0e 和 1.1.1 之間的變更 [xx XXX xxxx]

*) 新增 ASN.1 類型 INT32、UINT32、INT64、UINT64 以及以 Z 為前綴的變體。不鼓勵使用 LONG 和 ZLONG，並計劃在 OpenSSL 1.2.0 中棄用。

因此，創建從 2008 年 1 月 1 日到 2010 年 1 月 1 日的證書可以如下完成：

openssl ca -config /path/to/myca.conf -in req.csr -out ourdomain.pem \
-startdate 200801010000Z -enddate 201001010000Z

或者

openssl ca -config /path/to/myca.conf -in req.csr -out ourdomain.pem \
-startdate 0801010000Z -enddate 1001010000Z

-startdate並且-enddate確實出現在openssl來源和更改日誌中；正如 @guntbert 指出的，雖然它們不會出現在主頁中man openssl，但它們也會出現在man ca：

-startdate date
       this allows the start date to be explicitly set. The format of the date is
       YYMMDDHHMMSSZ (the same as an ASN1 UTCTime structure).

   -enddate date
       this allows the expiry date to be explicitly set. The format of the date is
       YYMMDDHHMMSSZ (the same as an ASN1 UTCTime structure).

引用openssl/CHANGE：

0.9.3a 與 0.9.4 之間的變更 [1999 年 8 月 9 日]

*）修正「ca」程式的 -startdate 和 -enddate （缺少）參數。

PS至於所選的答案問題您從 StackExchange 引用：它通常是餿主意更改系統時間，尤其是在生產系統中；透過此答案中的方法，您在使用它們時不需要 root 權限。

Answer