Перевірка відбитка сертифіката SSL?


26

Я розмовляю з агентом лялькових і маріонеткових ляльок, і я помітив, що утиліта Puppet cert забезпечує відбиток пальців для відкритого ключа мого агента, оскільки він вимагає підписати:

$ puppet cert list
  "dockerduck" (SHA256) 1D:72:C5:42:A5:F4:1C:46:35:DB:65:66:B8:B8:06:28:7A:D4:40:FA:D2:D5:05:1A:8F:43:60:6C:CA:D1:FF:79

Як переконатися, що це правильний ключ?

Що стосується лялькового агента, то отримання подарунка sha256sumдає мені щось різко:

$ sha256sum /var/lib/puppet/ssl/public_keys/dockerduck.pem
f1f1d198073c420af466ec05d3204752aaa59ebe3a2f593114da711a8897efa3

Якщо я пам'ятаю правильно, сертифікати надають контрольні суми своїх відкритих ключів у власне файлах ключів. Як я можу отримати доступ до відбитків пальців ключів?


1
Відбиток cert не є хеш-файлом pem, він обчислюється виходячи з конкретних полів cert, розташованих у певному форматі та порядку.
Dobes Vandermeer

Відповіді:


39

Утиліта командного рядка OpenSSL може використовуватися для перевірки сертифікатів (і приватних ключів, і багатьох інших речей). Щоб побачити все в сертифікаті, ви можете:

openssl x509 -in CERT.pem -noout -text

Щоб отримати відбиток пальця SHA256, виконайте такі дії:

openssl x509 -in CERT.pem -noout -sha256 -fingerprint

1
unable to load certificate 140640672884384:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:696:Expecting: TRUSTED CERTIFICATEЯкісь ідеї?
Naftuli Kay

@NaftuliTzviKay Можливо, вони не у форматі PEM. Як виглядають файли? (чи можете ви створити тестовий, який ви не будете використовувати, і опублікувати його десь?)
derobert

Ось відкритий ключ, про який йдеться в оригінальній публікації: pastebin.com/ae2Qtexc
Naftuli Kay

@NaftuliKay вам потрібно мати свій сертифікат у форматі pem.
M_AWADI

9

Найкращий спосіб підтвердити відбиток агента, принаймні в Лялькові 3.6, - це виконати таку команду у своєму агенті:

puppet agent --fingerprint
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.