Xác minh dấu vân tay của chứng chỉ SSL?


26

Tôi đang đùa giỡn với một đặc vụ bù nhìn và một bậc thầy múa rối và tôi nhận thấy rằng tiện ích Chứng nhận rối cung cấp một dấu vân tay cho khóa công khai của đại lý của tôi vì nó đã yêu cầu được ký:

$ puppet cert list
  "dockerduck" (SHA256) 1D:72:C5:42:A5:F4:1C:46:35:DB:65:66:B8:B8:06:28:7A:D4:40:FA:D2:D5:05:1A:8F:43:60:6C:CA:D1:FF:79

Làm thế nào để tôi xác minh rằng đây là chìa khóa đúng?

Trên đặc vụ Puppet, lấy sha256sumcho tôi một thứ khác biệt đáng kể:

$ sha256sum /var/lib/puppet/ssl/public_keys/dockerduck.pem
f1f1d198073c420af466ec05d3204752aaa59ebe3a2f593114da711a8897efa3

Nếu tôi nhớ lại một cách chính xác, các chứng chỉ cung cấp tổng kiểm tra các khóa công khai của chúng trong các tệp khóa thực tế. Làm cách nào tôi có thể truy cập vào dấu vân tay của phím?


1
Dấu vân tay của chứng chỉ không phải là hàm băm của tệp pem, nó được tính dựa trên các trường cụ thể trong chứng chỉ được sắp xếp theo một định dạng và thứ tự cụ thể.
Dobes Vandermeer

Câu trả lời:


39

Tiện ích dòng lệnh OpenSSL có thể được sử dụng để kiểm tra chứng chỉ (và khóa riêng và nhiều thứ khác). Để xem mọi thứ trong chứng chỉ, bạn có thể làm:

openssl x509 -in CERT.pem -noout -text

Để lấy dấu vân tay SHA256, bạn sẽ làm:

openssl x509 -in CERT.pem -noout -sha256 -fingerprint

1
unable to load certificate 140640672884384:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:696:Expecting: TRUSTED CERTIFICATECó ý kiến ​​gì không?
Naftuli Kay

@NaftuliTzviKay Có lẽ chúng không ở định dạng PEM. Các tập tin trông như thế nào? (hoặc, bạn có thể tạo một bài kiểm tra mà bạn sẽ không sử dụng và đăng nó ở đâu đó không?)
derobert

Đây là khóa công khai được đề cập trong bài viết gốc: pastebin.com/ae2Qtexc
Naftuli Kay

@NaftuliKay bạn cần có chứng chỉ của mình dưới dạng pem.
M_AWADI

9

Cách tốt nhất để xác nhận dấu vân tay của tác nhân, ít nhất là trong Puppet 3.6, là chạy lệnh sau trong tác nhân của bạn:

puppet agent --fingerprint
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.