問題
如何驗證SSL證書是否已由思科郵件安全裝置上的關聯金鑰簽名?
環境: 思科郵件安全裝置(ESA),AsyncOS的所有版本
此知識庫文章中引用的軟體不是由思科維護或支援的。 提供此資訊是為了方便您使用。 如需進一步協助,請連絡軟體廠商。
安裝SSL證書是透過TLS和LDAP安全訪問加密接收/傳送的先決條件。憑證是透過CLI指令'certconfig'安裝的。您想要安裝的憑證/金鑰配對必須包含已簽署憑證的金鑰。如果不遵守此規定,將導致無法安裝證書/金鑰對。
以下步驟有助於驗證證書是否已使用相關金鑰簽名。假設您在名為「server.key」的檔案中擁有私密金鑰,在「server.cer」中擁有憑證。
- 確保證書和金鑰的指數欄位相同。如果情況並非如此,則金鑰不是簽署者。以下命令(在具有openssl的任何標準Unix電腦上運行)將幫助驗證這一點。
$ openssl x509 -noout -text -in server.crt
$ openssl rsa -noout -text -in server.key
確保證書和金鑰中的指數欄位相同。指數鍵應等於65537。
- 對證書和金鑰的模數運行MD5雜湊,以確保它們相同。
$ openssl x509 -noout -modulus -in server.crt | openssl md5
$ openssl rsa -noout -modulus -in server.key | openssl md5
如果兩個MD5雜湊相似,則可以確保金鑰已簽名證書。
相關連結
http://www.modssl.org/docs/2.8/ssl_faq.html
意見