Xác minh dấu vân tay của chứng chỉ SSL?

Tôi đang đùa giỡn với một đặc vụ bù nhìn và một bậc thầy múa rối và tôi nhận thấy rằng tiện ích Chứng nhận rối cung cấp một dấu vân tay cho khóa công khai của đại lý của tôi vì nó đã yêu cầu được ký:

$ puppet cert list
  "dockerduck" (SHA256) 1D:72:C5:42:A5:F4:1C:46:35:DB:65:66:B8:B8:06:28:7A:D4:40:FA:D2:D5:05:1A:8F:43:60:6C:CA:D1:FF:79

Làm thế nào để tôi xác minh rằng đây là chìa khóa đúng?

Trên đặc vụ Puppet, lấy sha256sumcho tôi một thứ khác biệt đáng kể:

$ sha256sum /var/lib/puppet/ssl/public_keys/dockerduck.pem
f1f1d198073c420af466ec05d3204752aaa59ebe3a2f593114da711a8897efa3

Nếu tôi nhớ lại một cách chính xác, các chứng chỉ cung cấp tổng kiểm tra các khóa công khai của chúng trong các tệp khóa thực tế. Làm cách nào tôi có thể truy cập vào dấu vân tay của phím?

Tiện ích dòng lệnh OpenSSL có thể được sử dụng để kiểm tra chứng chỉ (và khóa riêng và nhiều thứ khác). Để xem mọi thứ trong chứng chỉ, bạn có thể làm:

openssl x509 -in CERT.pem -noout -text

Để lấy dấu vân tay SHA256, bạn sẽ làm:

openssl x509 -in CERT.pem -noout -sha256 -fingerprint

Cách tốt nhất để xác nhận dấu vân tay của tác nhân, ít nhất là trong Puppet 3.6, là chạy lệnh sau trong tác nhân của bạn:

puppet agent --fingerprint