質問
SSL 証明書が Cisco E メール セキュリティ アプライアンスに関連付けられたキーによって署名されていることを確認するにはどうしますか。
環境: Cisco E メール セキュリティ アプライアンス(ESA)、AsyncOS のすべてのバージョン
このナレッジ ベース記事では、シスコによる保守およびサポートの対象でないソフトウェアを参照しています。 この情報は、利便性のために無償で提供されています。 さらにサポートが必要な場合は、ソフトウェアのベンダーに連絡してください。
SSL証明書のインストールは、TLSおよびLDAPセキュアアクセスによる受信/配信の暗号化に必要です。証明書は、CLIコマンド「certconfig」を使用してインストールされます。インストールする証明書/キーペアは、証明書に署名したキーで構成されている必要があります。これに準拠しないと、証明書/キーペアのインストールが失敗します。
次の手順は、証明書が関連付けられたキーで署名されているかどうかを確認するのに役立ちます。「server.key」というファイルに秘密キーがあり、「server.cer」に証明書があると仮定します。
- 証明書とキーの指数フィールドが同じであることを確認します。そうでない場合、キーは署名者ではありません。これを確認するには、次のコマンドを使用します(opensslを使用する任意の標準UNIXマシンで実行します)。
$ openssl x509 -noout -text -in server.crt
$ openssl rsa -noout -text -in server.key
証明書とキーの指数フィールドが同じであることを確認します。指数キーは65537と等しくなければなりません。
- 証明書とキーの両方のモジュラスが同じであることを確認するために、MD5ハッシュを実行します。
$ openssl x509 -noout -modulus -in server.crt | openssl md5
$ openssl rsa -noout -modulus -in server.key | openssl md5
2つのMD5ハッシュが類似している場合は、キーが証明書に署名したことを確認できます。
関連リンク
http://www.modssl.org/docs/2.8/ssl_faq.html