openssl校验SSL证书public是否配对

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了openssl校验SSL证书public是否配对相关的知识,希望对你有一定的参考价值。

今天遇到一个很少遇到的关于SSL证书申请、安装问题,简要记录下来。


背景:SSL证书是private key + public key一起工作才能完成加密过程的。

大致来说就是client在handshake过程中先拿public key加密发送随机session encryption key set以及其它关键信息,通过public key密码的报文只能通过server端安装的SSL certificate key pair中的private key才能进行解密。

如果private key与public key不匹配,那么首先是server端在安装的时候就会提示密钥对不匹配并拒绝安装;其次,即便server允许安装不正确的证书对,那么在实际运行中,因为server无法解密client发送的加密报文,也会造成SSL handshake过程失败,进而导致session无法继续。


But, 证书购买过程会涉及到域名验证等等操作,可能在有的公司里面不会将此操作交由工程师完成,故作为运维人员的们即便明白SSL如何工作与申请、部署等等,也有可能等领导购买并生成SSL证书对。


那么拿到证书对的时候,应该如何验证private key与public key是不是一对的呢?

可以通过openssl工具public key信息提取然后进行精准的对比,命令如下


1). 针对private key(以rsa为例)

openssl rsa -pubout -in cert.key

2). 针对public key

openssl x509 -pubkey -noout -in cert.crt


然后对比两次输出,如果是正常的话,那么-----BEGIN PUBLIC KEY-----与-----END PUBLIC KEY-----之间的内容应该是完全一致的。


再借助diff工具,那么不必自己斗鸡眼对看长长的信息了

diff -eq <(openssl x509 -pubkey -noout -in cert.crt) <(openssl rsa -pubout -in cert.key)

如果是正常的话,上面的输出应该是与下面类似

writing RSA key

这表明,除了writing RSA key这部分内容以外均相同

以上是关于openssl校验SSL证书public是否配对的主要内容,如果未能解决你的问题,请参考以下文章

如果我在 OpenSSL 中加载新证书,证书是不是会更改 SSL 连接/状态“点”?

openssl 生成nginx永久ssl证书

用openssl生成的ssl证书和付费的有啥区别

什么是安全证书,访问者到底是怎么校验安全证书的,服务端返回安全证书后,客户端再向谁验证呢?

用openssl 和 keytool 生成 SSL证书

用openssl生成的ssl证书和付费的有啥区别