A. linux下怎麼設置某個用戶的密碼永不過期
設置某個用戶的密碼過期時間可以用usermod -e來設置,如果要統一設置用戶的密碼過期內時間,那麼就要修改容/etc/login.defs裡面的PASS_MAX_DAYS,比如修改所有用戶的密碼過期時間是30天:
PASS_MAX_DAYS 30
如果這個值是99999,那麼表示密碼永不過期。
或者就是直接修改/etc/shadow
root:XXXXXX:15::"U"::::
把"U"位置設為空或者99999就是不過期
B. linux認證有哪些
1. CompTIA Linxu+
CompTIA Linux+ 是(Linux Professional Institute,Linux專業委員會)主辦的一個Linux認證,在全世界范圍內提供培訓。其提供的Linux相關知識,可以用於從事一大批Linux相關專業的工作,如Linux管理員、高級網路管理員、系統管理員、Linux資料庫管理員和Web管理員。如果任何人想從事安裝和維護Linux操作系統,該課程會幫助他達到認證要求,並且通過提供對Linux系統更寬闊的認識,能夠為通過考試做好准備。LPI的CompTIA Linux+認證的主要目的就是,提供給證書持有者足夠扎實的,關於安裝軟體、操作、管理和設備排障的知識。我們可以付出一定的費用、時間和努力,完成CompTIA Linux+,同時獲得三個業內認可的證書:LPI LPIC-1和SUSE Certified Linux Administrator (CLA)證書。
認證代碼 : LX0-103,LX0-104(2015年3月30日啟動)或者LX0-101,LX0-102
題目數量:每次考試60道題
題目類型:多選
考試時長:90分鍾
要求:A+,Network+,並且有至少12個月的Linux管理經驗
分數線:500 (對於200-800的范圍來說)
語言:英語,將來會有德語,葡萄牙語,繁體中文,西班牙。
有效期:認證後三年有效
注意:不同系列的考試不能合並。如果你考的是LX0-101,那麼你必須考LX0-102完成認證。同樣的,LX0-103和LX0-104又是一個系列。LX0-103和LX0-104系列是LX0-101和LX0-102系列的升級版。
2. LPIC
LPIC,全稱Linux專業委員會認證( Linux Professional Institute Certification),是Linux專業委員會的一個Linux認證程序。這是一個多級別的認證程序,要求在每個級別通過一系列(通常是兩個)的認證考試。該認證有三個級別,包括初級水平認證 LPIC-1 ,高級水平認證 LPIC-2和最高水平認證 LPIC-3。前兩個認證側重於 Linux系統管理,而最後一個認證側重一些專業技能,包括虛擬化和安全。為了得到 LPIC-3 認證,一個持有有效的 LPIC-1 與LPIC-2 認證的考生必須通過300復雜環境測試、303安全測試、304虛擬化測試和高可用性測試中的一個。LPIC-1認證按照證書持有者可以通過運行Linux,使用命令行界面和基本的網路知識安裝,維護,配置等任務而設計,LPIC-2測試考生是否作為管理中小型混合網路的候選人。LPIC-3認證是為企業級Linux專業技能設計所設計,代表了最高的專業水平和不針對特定 Linux 發行版的行業認證。
認證代碼:LPIC-1(101和102),LPIC-2(201和202)和LPIC-3(300,303或者304)
題目類型:60個多項選擇
考試時長:90分鍾
要求:無,建議有 Linux Essentials 認證
分數線:500(在200-800的范圍內)
語言:LPIC-1:英語,德語,義大利語,葡萄牙語,西班牙語(現代),漢語(簡體),漢語(繁體),日語
LPIC-2:英語,德語,葡萄牙語,日語
LPIC-3:英語,日語
有效期:退休之後五年內仍然有效
3.Oracle Linux OCA
Oracle聯合認證(OCA)為個人而定製,適用於那些想證明其部署和管理Oracle Linux操作系統的知識牢固的人。該認證專業知識僅僅針對Oracle Linux發行版,這個系統完全是為Oracle產品特別剪裁的,可以運行Oracle設計的系統,包括Oracle Exadata資料庫伺服器,Oracle Exalytics In-Memory 伺服器,Oracle Exalogic 均衡雲,和Oracle資料庫應用等。Oracle Linux的「堅不可摧企業內核」為企業應用帶來了高性能、高擴展性和穩定性。OCA認證覆蓋了如管理本地磁碟設備、管理文件系統、安裝和移除Solaris包與補丁,優化系統啟動過程和系統進程。這是拿到OCP證書系列的第一步。OCA認證以其前身為Sun Certified Solaris Associate(SCSAS)而為人所知。
認證代碼:OCA
題目類型:75道多項選擇
考試時長:120分鍾
要求:無
分數線:64%
有效期:永遠有效
4. Oracle Linux OCP
Oracle專業認證(OCP)是Oracle公司為Oracle Linux提供的一個認證,覆蓋更多的進階知識和技能,對於一個Oracle Linux管理員來說。它囊括的知識有配置網路介面、管理交換分區配置、崩潰轉儲、管理軟體、資料庫和重要文件。OCP認證是技術性專業知識和專業技能的基準測試,這些知識與技能需要在公司里廣泛用於開發、部署和管理應用、中間件和資料庫。Oracle Linux OCP的工作機會在增長,這得益於工作市場和經濟發展。根據考試綱領,證書持有者有能力勝任安全管理、為Oracle 資料庫准備Oracle Linux系統、排除故障和進行恢復操作、安裝軟體包、安裝和配置內核模塊、維護交換空間、完成用戶和組管理、創建文件系統、配置邏輯卷管理(LVM)、文件分享服務等等。
認證代碼:OCP
題目類型:60至80道多項選擇題
考試時長:120分鍾
要求:Oracle Linux OCA
分數線:64%
有效期:永遠有效
5. RHCSA
RHCSA是紅帽公司作為紅帽認證系統工程師推出的一個認證程序。RHCSA們是指一些擁有在著名的紅帽Linux環境下完成核心系統管理技能和能力的人。這是一個入門級的認證程序,關注在系統管理上的實際勝任能力,包括安裝、配置一個紅帽Linux系統,接入一個可用的網路提供網路服務。一個紅帽認證的系統管理員可以理解和使用基本的工具,用以處理文件、目錄、命令行環境和文檔;操作運行中的系統,包括以不同的啟動級別啟動、識別進程、開啟和停止虛擬機和控制服務;使用分區和邏輯卷配置本地存儲;創建和配置文件系統和文件系統屬性,包括許可權、加密、訪問控制列表和網路文件系統;部署配置和維護系統,包括軟體安裝、更新和核心服務;管理用戶和組,包括使用一個中心的目錄用於驗證;安全性的工作,包括基本的基本防火牆和SELinux配置。要獲得RHCE和其他認證,首先得認證過RHCSA。
認證代碼:RHCSA
課程代碼:RH124,RH134和RH199
考試代碼:EX200
考試時長:21-22小時,取決於選擇的課程
要求:無。有一些Linux基礎知識更好
分數線:300總分,210過(70%)
有效期:3年
6. RHCE
RHCE,也叫做紅帽認證工程師,是一個中到高級水平的認證程序,為一些想要學習更多技能和知識,成為一個負責紅帽企業Linux的高級系統管理員的RHCSA開設的,RHCE應該有能力、知識和技能來配置靜態路由、包過濾、NAT、設定內核運行參數、配置一個ISCSI初始化程序,生成並發送系統用量報告、使用shell腳本自動完成系統維護任務、配置系統日誌,包括遠程日誌、提供網路服務如HTTP/HTTPS、FTP、NFS、SMB、SMTP、SSH和NTP等等。推薦希望獲得更多高級水平的認證的RHCSA們、已經完成系統管理員I,II和III、或者已經完成RHCE 快速跟進培訓的人們參加認證。
認證代碼:RHCE
課程代碼:RH124,RH134,RH254和RH199
考試代碼:EX200和EX300
考試時長:21-22個小時,取決於所選課程
要求:一個RHCSA證書
分數線:300總分,210過(70%)
有效期:3年
7. RHCA
RHCA即紅帽認證架構師,是紅帽公司的一個認證程序。它的關注點在系統管理的實際能力,包括安裝和配置一個紅帽Linux系統,並加入到一個可用網路中運行網路服務。RHCA是所有紅帽認證中最高水平的認證。考生需要選擇他們希望針對的領域,或者選擇合格的紅帽認證的任意組合來創建一個他們自己的領域。這里有三個主要的領域:數據中心、雲和應用平台。精通數據中心領域的RHCA能夠運行、管理數據中心;而熟悉雲的可以創建、配置和管理私有雲和混合雲、雲應用平台以及使用紅帽企業Linux平台的靈活存儲方案;精通應用平台集合的RHCA擁有技能如安裝、配置和管理紅帽JBoss企業應用平台和應用,雲應用平台和混合雲環境,藉助紅帽的OpenShift企業版,使用紅帽JBoss數據虛擬化技術從多個資源里組合數據。
認證代碼:RHCA
課程代碼:CL210,CL220.CL280,RH236,RH318,RH413,RH436,RH442,JB248和JB450
考試代碼:EX333,EX401,EX423或者EX318,EX436和EX442
考試時長:21-22個小時,取決於所選課程
要求:未過期的RHCE證書
分數線:300總分,210過(70%)
有效期:3年
8. SUSE CLA
SUSE認證Linux管理員(SUSE CLA)是SUSE推出的一個初級認證,關注點在SUSE Linux企業伺服器環境下的日常任務管理。為了獲得SUSE CLA認證,不用必須完成課程任務,只需要通過考試就能獲得認證。SUSE CLA們能夠、也有技術去使用Linux桌面、定位並利用幫助資源、管理Linux文件系統、用Linux Shell和命令行工作、安裝SLE 11 SP22、管理系統安裝、硬體、備份和恢復、用YaST管理Linux、Linux進程和服務、存儲、配置網路、遠程接入、SLE 11 SP2監控,任務自動化和管理用戶訪問和安全工作。我們可以同時獲得SUSE CLA,LPIC-1和CompTIA Linux認證,因為SUSE,Linux Professional Institute和CompATI合作提供了這個同時獲得三個Linux認證的機會。
認證代碼:SUSE CLA
課程代碼:3115,3116
考試代碼:050-720,050-710
問題類型:多項選擇
考試時長:90分鍾
要求:無
分數線:512
9. SUSE CLP
SUSE認證Linux專業人員(CLP)是一個認證程序,為那些希望獲得關於SUSE Linux企業伺服器更多高級且專業的知識的人而服務。SUSE CLP是通過SUSE CLA認證後的下一步。應該通過CLA的考試並擁有證書,然後通過完成CLP的考試才能獲得CLP的認證。通過SUSE CLP認證的人員有能力完成安裝和配置SLES 11系統、維護文件系統、管理軟體包、進程、列印、配置基礎網路服務、samba、Web伺服器、使用IPv6、創建和運行bash shell腳本。
認證代碼:SUSE CLP
課程代碼:3115,3116和3117
考試代碼:050-721,050-697
考試類型:手寫
考試時長:180分鍾
要求:SUSE CLA 認證
10. SUSE CLE
SUSE認證Linux工程師(CLE)是一個工程師級別的高級認證,為那些已經通過CLE考試的人准備。為了獲得CLE認證,人們需要已經獲得SUSE CLA和CLP的認證。獲得CLE認證的人員擁有架設復雜SUSE Linux企業伺服器環境的技能。CLE認證過的人可以配置基本的網路服務、管理列印、配置和使用Open LDAP、samba、IPv6、完成伺服器健康檢測和性能調優、創建和執行shell腳本、部署SUSE Linux企業板、通過Xen實現虛擬化等等。
認證代碼:SUSE CLE
課程代碼:3107
考試代碼:050-723
考試類型:手寫
考試時長:120分鍾
要求:SUSE CLP 10或者11證書
11. LFCS
Linux基金會認證系統管理員(LFCS)認證考生使用Linux和通過終端環境使用Linux的知識。LFCS是Linux基金會的一個認證程序,為使用Linux操作系統工作的系統管理員和工程師准備。Linux基金會聯合業內專家、Linux內核社區,測試考生的核心領域、關鍵技能、知識和應用能力。通過LFCS認證的人員擁有一些技能、知識和能力,包括在命令行下編輯和操作文件、管理和處理文件系統與存儲的錯誤、聚合分區作為LVM設備、配置交換分區、管理網路文件系統、管理用戶帳號/許可權和屬組、創建並執行bash shell腳本、安裝/升級/移除軟體包等等。
認證代碼:LFCS
課程代碼:LFCS201,LFCS220(可選)
考試代碼:LFCS 考試
考試時長:2小時
要求:無
分數線:74%
語言:英語
有效期:兩年
12. LFCE
Linux基金會認證工程師(LFCE),是Linux基金會為Linux工程師推出的認證。相比於LFCS,通過LFCE認證的人員在Linux方面擁有更大范圍的技能。這是一個工程師級別的高級認證程序。LFCE認證的人具備一些網路管理方面的技能和能力,如配置網路服務、配置包過濾、監控網路性能、IP流量、配置文件系統和文件服務、網路文件系統、從倉庫安裝/升級軟體包、管理網路安全、配置iptables、http服務、代理服務、郵件服務等等。由於其為高級工程級別的認證程序,所以普遍認為相比LFCS,學習和通過的難度更大些。
認證代碼:LFCE
課程代碼:LFS230
考試代碼:LFCE 考試
考試時長:2小時
要求:認證過LFCS
分數線:72%
語言:英語
有效期:2年
C. linux創建一個用戶,用戶名是自己英文名,有效期是2020年1月1日,該用戶屬於a
首先,你要知道在Linux中創建了一個用戶,除了生成UID外還會有一個GID,當你對原內用戶名修改後,容別忘了對GID也進行更新。 修改用戶名: 以root身份登錄,然後使用下列命令進行修改 usermod -l NewUser -d /home/NewUser -m OldUser -l 修改用戶名...
D. linux可以對賬號進行有效期設置嗎
useradd -e 指定過期日期 accname
-e, --expiredate EXPIRE_DATE
用戶賬戶將被禁用的日期。日期以 YYYY-MM-DD 格式指定。回
man useradd查閱答useradd用法。
E. linux下使用openssl檢測PE文件數字簽名的證書是否有效
windows在判斷證書是否有效時不檢測證書的有效期, 即使該證書超過有效期好幾年了, 只要沒有被吊銷, 微軟仍然認為它是有效的. 但在 openssl 提供的 X509_verify_cert 函數會驗證證書的有效期, 因此需要注釋掉驗證有效期的那部分代碼並重新編譯 openssl...
OK, 從 openssl 官網 上下載最新的版本, 好吧, 現在還是剛剛修復 Heartbleed 漏洞的 1.0.1g 版本...
下載, 解壓, 看下 INSTALL 文檔, 先試試可以編譯不:
./config
make
運氣不錯, 不用安裝什麼依賴直接編譯成功. 將代碼根目錄產生的 libcrypto.a 添加到項目中測試下, OK, 可以使用, 下面開始折騰了~
在 crypto/x509/x509_vfy.c 的 153 行找到 X509_verify_cert 函數(在線查看), 局部變數 ok 緩存每一步驗證是否通過, 它依次調用了:
check_issued
check_chain_extensions
check_name_constraints
check_trust
check_revocation
internal_verify
check_policy
其中 internal_verify (在線查看)驗證了證書的有效期, 進入這個函數, 在 1654 行找到這個代碼:
ok = check_cert_time(ctx, xs);
if (!ok)
goto end;
看看 check_cert_time 函數, 確認是檢查 notBefore 和 notAfter, 因此將上面三行代碼注釋掉, 驗證證書時就不會檢測有效期了.
然後就是重新編譯 openssl, 將 libcrypto.a 集成到項目里了~
F. linux中賬號賬號密碼的最短有效期,賬號密碼的最長有效期,賬號密碼的警告期,用戶的非活躍天數是什麼
你說的應該是/etc/shadow這個文件里的東西吧。密碼最短有效期你應該說的是第四欄位的內容吧,比如內為10,就是在10天之容後才能修改密碼,最長有效期就是,密碼失效的最大天數。警告時間默認為7天,就是在密碼失效7天前,系統會提示密碼即將失效。非活躍天數,不知道你在哪裡看到的,大概就是多久沒有登錄系統了吧。
G. linux認證有哪些
1、主要還是redhat的,現在版本是6.0, 初級的是rhcsa,中級的是rhce,高級的是rhca。
2、目前國際上廣泛承認的Linux認證有LinuxProfessionalInstitute(簡稱為LPI)、SairLinux和GNU、Linux+和RedHatCertifiedEngineer。
3、就Linux團體所關注的程度來看,LPI認證計劃受到了最為廣泛的支持。LPI已經先期推出了Linux ProfessionInstitute Certified-Level 1(簡稱為LPIC-1)認證計劃,不久的將來還會按預定計劃推出第2和第3級認證。
4、同LPI一樣,Sair提供了三種級別的認證計劃;Level 1——Sair Linux & GNU Certified Administrator(LCA)。Level 2 —-- Sair Linux & GNU Certified Engineer(LCE)。Level 3 ---- Master Sair Linux & GNU Certified Engineer(MLCE)。
5、CompTIA主辦的Linux+認證計劃是最新進入Linux認證市場的。該計劃於2001年9月21日正式推出,已經在Linux從業人員和業內引起了廣泛的關注。幾乎所有的主要認證出版商都撰寫了針對Linux+認證的考試參考書,眾多的IT 培訓中心都在准備Linux+認證計劃了。
6、同CompTIA推出的其他帶「+」號的認證一樣,Linux+資格證書只需要通過一場考試即可獲得(VUE和Prometric考試中心舉辦此類考試),一旦你獲得了Linux+資格證書,證書就終生有效。Linux+考試價格是190美元,考試採用多選題形式,時長120分鍾,所覆蓋的內容很多都是和Sair以及LPI認證完全一樣的,但難度稍有降低。
7、LPI和Sair認證計劃的考試對象是具有相當經驗的Linux網路和系統管理員,而Linux+認證則主要面向只有半年左右的Linux體驗、想獲得基本Linux技術資格的個人。
H. linux下使用openssl檢測PE文件數字簽名的證書是否有效
第一個坑: 有效期
windows在判斷證書是否有效時不檢測證書的有效期, 即使該證書超過有效期好幾年了, 只要沒有被吊銷, 微軟仍然認為它是有效的. 但在 openssl 提供的 X509_verify_cert 函數會驗證證書的有效期, 因此需要注釋掉驗證有效期的那部分代碼並重新編譯 openssl...
OK, 從 openssl 官網 上下載最新的版本, 好吧, 現在還是剛剛修復 Heartbleed 漏洞的 1.0.1g 版本...
下載, 解壓, 看下 INSTALL 文檔, 先試試可以編譯不:
./config
make
運氣不錯, 不用安裝什麼依賴直接編譯成功. 將代碼根目錄產生的 libcrypto.a 添加到項目中測試下, OK, 可以使用, 下面開始折騰了~
在 crypto/x509/x509_vfy.c 的 153 行找到 X509_verify_cert 函數(在線查看), 局部變數 ok 緩存每一步驗證是否通過, 它依次調用了:
check_issued
check_chain_extensions
check_name_constraints
check_trust
check_revocation
internal_verify
check_policy
其中 internal_verify (在線查看)驗證了證書的有效期, 進入這個函數, 在 1654 行找到這個代碼:
ok = check_cert_time(ctx, xs);
if (!ok)
goto end;
看看 check_cert_time 函數, 確認是檢查 notBefore 和 notAfter, 因此將上面三行代碼注釋掉, 驗證證書時就不會檢測有效期了.
然後就是重新編譯 openssl, 將 libcrypto.a 集成到項目里了~
第二個坑: unhandled critical extension
搜索了下, 在 openssl 官網上找到這個:
-ignore_critical
Normally if an unhandled critical extension is present which is not supported by OpenSSL the certificate is rejected (as required by RFC5280). If this option is set critical extensions are ignored.
原來是當openssl遇到證書中有它不支持的 未處理的關鍵擴展(unhandled critical extension ?) 時, 它會拒絕載入該證書.
再搜索下 -ignore_critical, 在 verify.c 中找到如下代碼片段:
else if (strcmp(*argv,"-ignore_critical") == 0)
vflags |= X509_V_FLAG_IGNORE_CRITICAL;
然後再使用 X509_STORE_set_flags 函數設置標志位:
X509_STORE *ctx;
...
X509_STORE_set_flags(ctx, vflags);
即可.
第三個坑: certificate signature failure
這個坑填不上了, openssl 說:
7 X509_V_ERR_CERT_SIGNATURE_FAILURE: certificate signature failure
the signature of the certificate is invalid.
在windows下導出證書文件, 直接用 openssl 驗證, 在載入證書就會出錯, PEM_read_bio_X509 返回為空....
第四個坑: A certificate was explicitly revoked by its issuer.
A certificate was explicitly revoked by its issuer. 是 Sysinternals 提供的工具sigcheck.exe 的檢測結果, 把文件拎出來一看, 證書真的被撤銷了...
OK, 只好根據證書上的 CRL Distribution Point(CRL 分發點) 提供的 URL 下載 撤銷證書列表 文件, 然後在調用 X509_verify_cert 驗證證書鏈之前, 設置填充被撤銷的證書列表:
X509_CRL *d2i_X509_CRL_fp(FILE *fp, X509_CRL **crl); // 讀取被撤銷的證書列表
STACK_OF(X509_CRL) *sk_X509_CRL_new_null();
#define sk_X509_CRL_push(st, val) SKM_sk_push(X509_CRL, (st), (val)); // sk_X509_CRL_push(STACK_OF(X509_CRL) *crls, X509_CRL *crl);
void X509_STORE_CTX_set0_crls(X509_STORE_CTX *c, STACK_OF(X509_CRL) *sk); // 設置被撤銷的證書列表
同時, 也要設置檢查被撤銷證書列表的標志位 X509_V_FLAG_CRL_CHECK, 然後再調用X509_verify_cert 驗證證書鏈即可.
填了第四個坑後又引起了第五個坑(如何獲取撤銷證書列表)和第六個坑(設置檢測撤銷證書列表的標識位後, 如果該證書沒有撤銷證書列表則直接報錯)...
第五個坑: 獲取撤銷證書列表文件
證書上的 CRL Distribution Point(CRL 分發點) 屬於擴展屬性, 在 PKCS #7: Cryptographic Message Syntax V1.5 上沒有相關介紹.
在 StackOverflow 上找到這個問答 Openssl - How to check if a certificate is revoked or not, 其中第二個回答說 CRL 是在 RFC 5280 中定義的, 除了證書中附帶被撤銷的證書列表以外還有使用 OCSP 協議的, 即使證書撤銷列表也分為使用 URL分發點和 LDAP DNs(???)提供的, 目前先考慮使用 URL 作為 CRL分發點 的情況吧.
然而 openssl 沒有提供直接獲取 CRL 分發點 URL 的API, 那個回答說 Apache 的 mod_ssl 模塊有本地 CRL 和 OCSP 檢測的實現代碼, 但沒有說明哪裡有檢測使用 URL 作為 CRL分發點 的實現方法.
然後又在 frank4dd.com上找到這個代碼 certextensions.c, 他給出了一個如何使用 openssl 從 X.509v3 版本的證書文件中提取擴展內容的示常式序, 太感謝 Frank4DD 這位仁兄了~~~
到這里後, 可以直接使用他的示常式序, 根據關鍵字 Full Name 和 URI 定位 CRL 分發點 的 URL, 也可以看看 openssl 是如何提取這個 URL 的, 然後自己實現一個介面.
如果自作孽使用第二種方法的話, 就編譯個 debug 版的 openssl 庫, 然後調試跟進X509V3_EXT_print 函數, 一步一步的向下走, 直到走到 GENERAL_NAME_print 函數, 這里就是終點了...然後就知道了 CRL 分發點 的 URL 的編號為 6, 也就是 GEN_URI, 直接取結果吧.
第六個坑: CRL有效期
在windows環境下每次查看PE文件的數字簽名時, windows 都會從 CRL分發點 下載吊銷證書列表做驗證,一般來說, 每個 CRL的有效期是非常短的,大概只有5~20 天的有效期吧, 然而我們不可能像 windows 一樣每次查看數字簽名時就從CRL分發點下載最新的吊銷列表.
另外, windows 遇到過期的 CRL 時不會產生證書鏈無效的結果, 但 openssl 在遇到過期的 CRL 時就會導致證書鏈驗證失敗, 因此在載入和驗證 CRL 時, 要忽略 CRL 的有效期.
分析 openssl 源代碼, X509_verify_cert 調用 check_revocation , 之後調用 check_cert , 然後再調用 check_crl , 在這個函數里有檢測 CRL 有效期的代碼:
if (!(ctx->current_crl_score & CRL_SCORE_TIME))
{
ok = check_crl_time(ctx, crl, 1);
if (!ok)
goto err;
}
將其注釋掉即可忽略檢測 CRL 有效期.
第七個坑: CRL 列表為空導致 openssl 認為沒有載入 CRL
9 初始化順序
10 證書名: key_id