open SSL证书自签证 修改生效时间和过期时间

胜过彩虹的美

0x6201836AFA17155F1A1F638299AC9C0AD8B751FFC160B604CAA3A5F23A88A7C6F1F02ED874D66DEEC2F2455CBF212A0C9BE02520199EA898E1D823D0DF8807320A4178DC5F055B1BF3B4E541B6A09471DF8E566CC2934C4B05FB53C7873207BBFC3F3B73A080546414C7791E02EBCCF1499ED0A42BE09B2E70FB72C485D98FC1CD6B0C01A7308201A33082014BA003020102020902C4988B79D7000002300F060D2B0601040196640306837D056E30123110300E06035504030C07414230303030313020170D3230313032363038323435355A180F39393939313233313232353935395A301A3118301606035504030C0F42435F465F53544152335F47656E313034300F060D2B0601040196640306837D056E03210017CC7257E5F9DAF4B67025794CA55798839F182B7135CAA47BF5BAF24B80B6B0A3819F30819C3017060D2B0601040196640306837D05650101FF04030401043017060D2B0601040196640306837D056B0101FF0403040100301D0603551D0E0416041449F68BDA9C097C5141AC1F447AA54BF42D0AA362301F0603551D2304183016801480DD4558CC84CC0AC164D518ECA645065B9614363028060D2B0601040196640306837D056C0101FF041431120C0742435F463230360C0742435F46323233300F060D2B0601040196640306837D056E0341004D2D27166EE60BD6251F0ED1D30E63C0ADAEA144E6BD1031A43D6C37A8431ED6FB19B8241F1FDD4196EB23FF49AF62A0FF210B242A9EB696006F877B51967307
这是个证书,把里面的生效时间和过期时间修改一下,谁会

appleqc

修改自签名SSL证书的生效时间和过期时间，核心是**定位证书中的时间字段（UTC格式）并重新编码**，直接修改十六进制数据容易破坏证书结构，更可靠的方式是使用`openssl`工具重新生成符合要求的自签名证书。以下是具体方案：


### 一、直接修改现有证书（适合有经验用户）
你的证书是DER编码格式（十六进制字符串），其中时间字段以`UTCTime`格式存储（如`3230313032363038323435355A`代表`201026082455Z`即2020-10-26 08:24:55 UTC）。

#### 步骤：
1. **将十六进制转为DER文件**：  
   把你的十六进制字符串保存为`cert.hex`，用工具转为DER格式：  
   ```bash
   xxd -r -p cert.hex cert.der  # 十六进制转DER二进制
   ```

2. **查看证书现有时间**：  
   用`openssl`解析证书，确认时间字段位置：  
   ```bash
   openssl x509 -in cert.der -inform der -text -noout
   # 输出中会显示：
   # Not Before: Oct 26 08:24:55 2020 GMT
   # Not After : Dec 31 22:59:59 9999 GMT （你的证书过期时间）
   ```

3. **定位时间字段的十六进制位置**：  
   - 时间在证书中以`17 0D`（UTCTime标签）开头，后跟时间字符串的ASCII十六进制（如`323031303236`对应`201026`）。  
   - 例如你的证书中：  
     - 生效时间：`170D3230313032363038323435355A` → 对应`201026082455Z`（2020-10-26 08:24:55）  
     - 过期时间：`180F39393939313233313232353935395A` → 对应`99991231225959Z`（9999-12-31 22:59:59）

4. **修改时间并重新编码**：  
   - 例如：将生效时间改为`20240101000000Z`，对应十六进制为`32303234303130313030303030305A`，替换原`170D`后的字段。  
   - 将过期时间改为`20301231235959Z`，对应十六进制为`32303330313233313233353935395A`，替换原`180F`后的字段。  
   - 用十六进制编辑器（如HxD）修改`cert.der`，保存后验证：  
     ```bash
     openssl x509 -in cert.der -inform der -text -noout  # 检查时间是否正确
     ```


### 二、用OpenSSL重新生成（推荐，避免格式错误）
直接生成新的自签名证书并指定时间，比修改现有证书更可靠：

#### 1. 生成私钥
```bash
openssl genrsa -out private.key 2048  # 生成2048位私钥
```

#### 2. 生成自签名证书（指定生效/过期时间）
```bash
openssl req -new -x509 -key private.key -out cert.crt \
  -days 3650 \  # 有效期（天），也可直接指定具体时间
  -startdate 240101000000Z \  # 生效时间：YYYYMMDDHHMMSSZ（2024-01-01 00:00:00）
  -enddate 301231235959Z \    # 过期时间：2030-12-31 23:59:59
  -subj "/C=CN/ST=Beijing/L=Beijing/O=MyOrg/OU=MyDept/CN=example.com"
```
- 参数说明：  
  - `startdate`：生效时间（UTC时区，格式`YYMMDDHHMMSSZ`，年份<50则视为20XX，≥50视为19XX；或用`YYYYMMDDHHMMSSZ`）。  
  - `enddate`：过期时间（格式同上）。  
  - `subj`：证书主题信息（按需修改）。

#### 3. 转换为DER格式（如需十六进制）
如果需要类似你提供的十六进制格式（DER编码）：
```bash
openssl x509 -in cert.crt -outform der -out cert.der  # PEM转DER
xxd -p cert.der > cert.hex  # DER转十六进制字符串（即你需要的格式）
```


### 三、关键注意事项
1. **时间格式严格性**：  
   - 必须使用**UTC时间**（结尾带`Z`），格式为`YYMMDDHHMMSSZ`（UTCTime）或`YYYYMMDDHHMMSSZ`（GeneralizedTime）。  
   - 例如：`240101000000Z` → 2024-01-01 00:00:00 UTC；`301231235959Z` → 2030-12-31 23:59:59 UTC。

2. **避免直接修改十六进制**：  
   证书包含签名信息，直接修改时间字段会导致**证书无效**（签名校验失败）。重新生成证书是唯一可靠的方式（自签名证书可重新签名）。

3. **验证证书有效性**：  
   修改/生成后务必用`openssl`验证：  
   ```bash
   openssl x509 -in cert.crt -text -noout  # 检查时间和结构是否正确
   ```


### 总结
推荐用`openssl`重新生成证书并指定`-startdate`和`-enddate`参数，步骤简单且能保证证书有效性。如果必须修改现有证书的十六进制数据，需严格保持时间字段格式和证书结构，修改后必须验证签名（自签名证书可忽略签名校验问题，但其他场景可能失效）。