it-roy-ru.com

Как определить тип сертификата из файла

Кажется, что нет никакого стандартного соглашения об именах для сертификатов OpenSSL, поэтому я хотел бы знать, есть ли простая команда для получения важной информации о любом сертификате OpenSSL, независимо от его типа. Я хотел бы знать хотя бы тип сертификата (x509, RSA, DSA) и является ли это открытым или закрытым ключом. Глядя на содержимое сертификата, который я только что извлек из файла PKCS12, ни один из них явно не показан.

25
l0b0

Во-первых, у вас есть несколько проблем с терминологией:

  • стандарт X509 определяет сертификаты, а RSA и DSA - два алгоритма открытого ключа, которые можно использовать в этих сертификатах;
  • сертификаты используются для хранения открытых ключей, а не закрытых ключей.
  • PKCS # 12 является стандартом для контейнера, который может содержать клиентские сертификаты X509 и соответствующие закрытые ключи, а также (необязательно) сертификаты X509 тех CA, которые подписали клиентский сертификат (ы) X509.

Итак, если вы изучаете файл PKCS # 12 (обычно расширение .p12), то вы уже знаете:

  • Он содержит как минимум один клиентский сертификат X509, который содержит открытый ключ; а также
  • Содержит соответствующие закрытые ключи.

Все, что вы не знаете, это сертификаты и закрытые ключи RSA или DSA. Вы можете проверить это путем извлечения сертификата (ов), а затем изучить их:

openssl pkcs12 -in mycert.p12 -clcerts -nokeys -out mycert.crt
openssl x509 -in mycert.crt -text

Текстовый вывод команды openssl x509 должен содержать раздел Subject Public Key, который будет содержать поля, позволяющие увидеть, является ли он ключом RSA или DSA (вместе с размером ключа).

36
caf

Сертификаты также могут быть ограничены для определенного использования. 

Например, он может быть ограничен, чтобы его нельзя было использовать в качестве центра сертификации. Читайте также больше в этот пост StackOverflow .

0
Wilt