使用 openssl dgst 验证文件签名

Posted

技术标签:

【中文标题】使用 openssl dgst 验证文件签名【英文标题】:verifying a file signature with openssl dgst 【发布时间】:2011-01-24 00:39:00 【问题描述】:

我正在用一些 Java 代码对数据包进行签名,并且我想在 C 服务器上验证签名。我想为此目的分叉openssl(以后可以随时使用库函数......当我知道openssl可以验证签名时);但是,它没有这样做:

openssl dgst -verify cert.pem -signature file.sha1 file.data
它只是说“无法加载密钥文件

证书上写着:

openssl verify cert.pem 

cert.pem: /C=....
error 20 at 0 depth lookup:unable to get local issuer certificate

但是,我特别不关心验证证书,我只想验证给定文件的签名!

openssl x509 -in cert.pem -noout -text 的输出为:

Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number:
            ...
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=...
        Validity
            Not Before: Feb  1 15:22:44 2010 GMT
            Not After : Jun 19 15:22:44 2037 GMT
        Subject: C=...
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    00:cc:cc:f9:c7:3a:00:0f:07:90:55:d9:fb:a9:fe:
                    ...
                    32:cc:ee:7f:f2:01:c7:35:d2:b5:9b:35:dd:69:76:
                    00:a9
                Exponent: 65537 (0x10001)
    Signature Algorithm: sha1WithRSAEncryption
        39:d6:2c:6b:6a:00:74:b5:81:c2:b8:60:d6:6b:54:11:41:8d:
        ...
        8f:3e:3f:5d:b3:f8:dd:5e

【问题讨论】:

我认为 cert.pem 存在一些问题。 “openssl x509 -in cert.pem -noout -text”输出什么? @Anders Lindahl 我已将其添加到问题中 【参考方案1】:

openssl dgst -verify foo.pem 期望 foo.pem 包含 PEM 格式的“原始”公钥。原始格式是SubjectPublicKeyInfo 结构的编码,可以在证书中找到;但openssl dgst 无法一次性处理完整的证书。

您必须首先从证书中提取公钥:

openssl x509 -pubkey -noout -in cert.pem > pubkey.pem

然后使用密钥验证签名:

openssl dgst -verify pubkey.pem -signature sigfile datafile

【讨论】:

幸运的是,文件扩展名看起来并不重要。使用这种方法从 .crt 文件中提取公钥也适用于我。

以上是关于使用 openssl dgst 验证文件签名的主要内容,如果未能解决你的问题,请参考以下文章

openssl 摘要和签名验证指令dgst使用详解

5.openssl dgst

openssl rsautl(签名/验证签名/加解密文件)和openssl pkeyutl(文件的非对称加密)

盲目签署和验证的库或软件是什么?

6.openssl rsautl和openssl pkeyutl

公私钥生成