Wie kann die Integrität des privaten Schlüsselpaars überprüft werden?

Sie können die Integrität eines SSL-Zertifikats und eines Paars privater Schlüssel mit dem
OpenSSL-Dienstprogramm
und seinen Befehlszeilen überprüfen.

Das Verfahren besteht aus vier Schritten:

1. Vergewissern Sie sich, dass der private Schlüssel nicht verändert worden ist.
2. Überprüfen Sie den Moduluswert, der mit dem privaten Schlüssel und dem SSL-Zertifikatspaar übereinstimmt.
3. Erfolgreiche Verschlüsselung mit dem öffentlichen Schlüssel aus dem Zertifikat und Entschlüsselung mit dem privaten Schlüssel
4. Bestätigen Sie die Integrität der Datei, die mit dem privaten Schlüssel signiert ist

Überprüfen der Integrität des privaten Schlüssels

Führen Sie den folgenden Befehl aus: openssl rsa -in [key-file .key] -check -noout

Hier ist ein Beispiel für einen beschädigten privaten Schlüssel:

Andere Fehler, die auf einen geänderten/gefälschten Schlüssel zurückzuführen sind, werden im Folgenden aufgeführt:

• RSA-Schlüsselfehler: p nicht prim
• RSA-Schlüsselfehler: n ist ungleich p q
• RSA-Schlüsselfehler: d e nicht kongruent zu 1
• RSA-Schlüsselfehler: dmp1 nicht kongruent zu d
• RSA-Schlüsselfehler: iqmp nicht invers zu q

Wenn einer der oben genannten Fehler auftritt, wurde Ihr privater Schlüssel manipuliert und funktioniert möglicherweise nicht mit Ihrem öffentlichen Schlüssel. Erwägen Sie, einen neuen privaten Schlüssel zu erstellen und ein Ersatzzertifikat anzufordern.

Hier ist ein Beispiel für einen privaten Schlüssel, der die Integrität erfüllt:

Überprüfen Sie den Moduluswert, der mit dem privaten Schlüssel und dem SSL-Zertifikatspaar übereinstimmt.

Anmerkung:

Der Modulus des privaten Schlüssels und des Zertifikats müssen genau übereinstimmen.

Um das Zertifikat Modulus anzuzeigen, führen Sie den Befehl aus:

openssl x509 -noout -modulus -in [certificate-file .cer]

Um den privaten Schlüssel Modulus anzuzeigen, führen Sie den Befehl aus:

openssl rsa -noout -modulus -in [key-file .key]

Verschlüsseln mit dem öffentlichen Schlüssel von und Entschlüsseln mit dem privaten Schlüssel

1. Holen Sie den öffentlichen Schlüssel aus dem Zertifikat:

openssl x509 -in [certificate-file .cer] -noout -pubkey > certificatefile.pub.cer

2. Verschlüsseln Sie den Inhalt der Datei test.txt mit dem öffentlichen Schlüssel

Erstellen Sie eine neue Datei namens test.txt (Sie können Notepad verwenden) mit dem Inhalt “message test”. Führen Sie den folgenden Befehl aus, um eine verschlüsselte Nachricht in der Datei cipher.txt zu erstellen.

openssl rsautl -encrypt -in test.txt -pubin -inkey certificatefile.pub.cer -out cipher.txt

3. Entschlüsseln von cipher.txt mit dem privaten Schlüssel
Führen Sie den folgenden Befehl aus, um den Inhalt von cipher.txt zu entschlüsseln.

openssl rsautl -decrypt -in cipher.txt -inkey [key-file .key]

Stellen Sie sicher, dass Sie den Inhalt der Datei cipher.txt auf Ihrem Terminal entschlüsseln können. Die Ausgabe auf dem Terminal muss mit dem Inhalt der Datei test.txt übereinstimmen.

Wenn der Inhalt nicht übereinstimmt, wurde der private Schlüssel manipuliert und funktioniert möglicherweise nicht mit Ihrem öffentlichen Schlüssel. Erwägen Sie, einen neuen privaten Schlüssel zu erstellen und ein Ersatzzertifikat anzufordern. Hier ist ein Beispiel für eine entschlüsselte Nachricht:

4. Bestätigen Sie die Integrität der mit dem privaten Schlüssel signierten Datei

Führen Sie den folgenden Befehl aus, um die Dateien test.sig und test.txt mit Ihrem privaten Schlüssel zu signieren:

openssl dgst -sha256 -sign [key-file .key] -out test.sig test.txt

Überprüfen Sie nun die signierten Dateien mit Ihrem in Schritt 1 extrahierten öffentlichen Schlüssel.

openssl dgst -sha256 -verify zertifikatsdatei.pub.cer -signatur test.sig test.txt

Vergewissern Sie sich, dass die Ausgabe auf dem Terminal genau wie im folgenden Beispiel aussieht:

Wenn Ihr privater Schlüssel manipuliert wird, erhalten Sie die folgende Meldung:

In diesem Fall sollten Sie einen neuen privaten Schlüssel erstellen und ein Ersatzzertifikat anfordern.

Quelle: Digicert’s Wissensdatenbank