问题
如何验证SSL证书是否已由思科邮件安全设备上的关联密钥签名?
环境: 思科邮件安全设备(ESA),所有AsyncOS版本
此知识库文章引用不是由思科维护或支持的软件。 提供该信息只是为了方便您使用。 如需进一步协助,请联系软件供应商。
安装SSL证书是通过TLS和LDAP安全访问加密接收/交付的先决条件。通过CLI命令“certconfig”安装证书。要安装的证书/密钥对必须包含已签名证书的密钥。如果不遵守此规定,将导致无法安装证书/密钥对。
以下步骤有助于验证证书是否已使用相关密钥签名。假设您在名为“server.key”的文件中有一个私钥,在“server.cer”中有一个证书。
- 确保证书和密钥的指数字段相同。如果并非如此,则密钥不是签名者。以下命令(在带有openssl的任何标准Unix计算机上运行)将帮助验证这一点。
$ openssl x509 -noout -text -in server.crt
$ openssl rsa -noout -text -in server.key
确保证书和密钥中的指数字段相同。指数键应等于65537。
- 对证书和密钥的模数运行MD5散列值,以确保它们相同。
$ openssl x509 -noout -modulus -in server.crt | openssl md5
$ openssl rsa -noout -modulus -in server.key | openssl md5
如果两个MD5散列值相似,则可以确保密钥签名证书。
相关链接
http://www.modssl.org/docs/2.8/ssl_faq.html