Mat*_*att 7 ssl ssl-certificate
比较两个 SSL 证书的最佳方法是什么?有没有权威的工具?我想这样做的原因是我有两个证书,看似具有相同的属性,但一个有效,另一个无效。需要明确的是,我想比较属性,我知道签名不会匹配,因为它们是在不同时间发布的。
小智 5
如果一个证书有效而另一个证书无效,那么我的第一个怀疑是两个证书并非源自同一个私钥。
首先检查两个证书实际上是否相同
$ openssl x509 -noout -modulus -in server.nr1.crt | openssl md5
$ openssl x509 -noout -modulus -in server.nr2.crt | openssl md5
如果它们都来自同一个 csr,则 md5 将匹配。
按如下方式检查私钥的证书,以确保证书和私钥匹配:
$ openssl x509 -noout -modulus -in server.crt | openssl md5
$ openssl rsa -noout -modulus -in server.key | openssl md5
输出 md5 哈希值应该匹配。
您还可以检查您的 csr,以确保它与您的私钥和证书匹配。
$ openssl req -noout -modulus -in server.csr | openssl md5
使用网络上的每个客户端进行数据包捕获。使用可以对对话进行一些分析的工具,例如 Wireshark。或者尝试使用 ExtraHop、Dynatrace 或 LANGuardian 等有线数据分析产品。此处的优点是您可以看到正在使用的实际 TLS 实现。其中一个实现被破坏的可能性不大,但有可能。
对于查看证书,OpenSSL 并不是唯一的游戏,您可能使用证书的任何操作系统都会有实用程序来查询它们。PowerShell pki 模块很简洁,因为您可以过滤或查看任何或所有属性。
| 归档时间: |
|
| 查看次数: |
31333 次 |
| 最近记录: |