openssl校驗SSL證書publickey是否配對

今天遇到一個很少遇到的關(guān)于SSL證書申請、安裝問題，簡要記錄下來。

創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供嵊泗網(wǎng)站建設(shè)、嵊泗做網(wǎng)站、嵊泗網(wǎng)站設(shè)計、嵊泗網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、嵊泗企業(yè)網(wǎng)站模板建站服務(wù)，10多年嵊泗做網(wǎng)站經(jīng)驗，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

背景：SSL證書是private key + public key一起工作才能完成加密過程的。

大致來說就是client在handshake過程中先拿public key加密發(fā)送隨機(jī)session encryption key set以及其它關(guān)鍵信息，通過public key密碼的報文只能通過server端安裝的SSL certificate key pair中的private key才能進(jìn)行解密。

如果private key與public key不匹配，那么首先是server端在安裝的時候就會提示密鑰對不匹配并拒絕安裝；其次，即便server允許安裝不正確的證書對，那么在實際運行中，因為server無法解密client發(fā)送的加密報文，也會造成SSL handshake過程失敗，進(jìn)而導(dǎo)致session無法繼續(xù)。

But, 證書購買過程會涉及到域名驗證等等操作，可能在有的公司里面不會將此操作交由工程師完成，故作為運維人員的們即便明白SSL如何工作與申請、部署等等，也有可能等領(lǐng)導(dǎo)購買并生成SSL證書對。

那么拿到證書對的時候，應(yīng)該如何驗證private key與public key是不是一對的呢？

可以通過openssl工具public key信息提取然后進(jìn)行精準(zhǔn)的對比，命令如下

1). 針對private key（以rsa為例）

openssl rsa -pubout -in cert.key

2). 針對public key

openssl x509 -pubkey -noout -in cert.crt

然后對比兩次輸出，如果是正常的話，那么-----BEGIN PUBLIC KEY-----與-----END PUBLIC KEY-----之間的內(nèi)容應(yīng)該是完全一致的。

再借助diff工具，那么不必自己斗雞眼對看長長的信息了

diff -eq <(openssl x509 -pubkey -noout -in cert.crt) <(openssl rsa -pubout -in cert.key)

如果是正常的話，上面的輸出應(yīng)該是與下面類似

writing RSA key

這表明，除了writing RSA key這部分內(nèi)容以外均相同

分享題目：openssl校驗SSL證書publickey是否配對
網(wǎng)站路徑：http://muchs.cn/article40/joocho.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App開發(fā)、App設(shè)計、標(biāo)簽優(yōu)化、品牌網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站營銷

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)