it-swarm-tr.com

Sertifika parmak izinin gerçek değeri nedir?

X509 dijital sertifikada "sertifika parmak izi" bölümü bulunur. Md5, sha1 ve sha256 içerir. Bunlar nasıl elde edilir ve SSL bağlantısı sırasında bu değerler nasıl kontrol edilir?

34
Ashwin

Firefox ile bir sertifikaya bakarken Parmak İzleri bölümünde gösterildiği gibi parmak izi veya IE) tümünün DER formunda sertifika.

Sertifikanız PEM biçimindeyse, OpenSSL ile DER'e dönüştürün:

openssl x509 -in cert.crt -outform DER -out cert.cer

Ardından, üzerinde bir SHA-1 karması gerçekleştirin (örneğin sha1sum1):

sha1sum cert.cer

Bu, tarayıcıda gördüğünüzle aynı sonucu vermelidir. Bu değerler sertifikanın bir parçası değildir, sertifikadan hesaplanır.

Bu parmak izlerinin bir uygulaması EV sertifikalarını doğrulamaktır. Bu durumda, kök EV CA sertifikasının SHA-1 parmak izi tarayıcıda sabit kodlanmış ((a) kök sertifikasının parmak izi ve (b) eşleşmesi gerektiğini unutmayın tam olarak tarayıcının bu değerlerle derlenmiş sürümü ile gönderilen güven bağlantıları).

Bunun dışında, bu parmak izleri çoğunlukla sertifikaları tanımlamak için kullanılır (bunları düzenlemek için).

Zincirdeki diğer sertifikaların doğrulanması için kullanılan gerçek ortak anahtarlardır. Sertifikayı imzalamak için kullanılan özet aslında sertifikada değildir (yalnızca sonuçta imzalanan). Bakınız sertifika yapısı :

   Certificate  ::=  SEQUENCE  {
        tbsCertificate       TBSCertificate,
        signatureAlgorithm   AlgorithmIdentifier,
        signatureValue       BIT STRING  }

   TBSCertificate  ::=  SEQUENCE  {
        version         [0]  EXPLICIT Version DEFAULT v1,
        serialNumber         CertificateSerialNumber,
        signature            AlgorithmIdentifier,
        issuer               Name,
        validity             Validity,
        subject              Name,
        ...

Bu durumda, imza değeri DER kodlu tbsCertificate'dan (yani içeriği) hesaplanır. İmza algoritması RSA'lı SHA1 olduğunda (örneğin), bir SHA-1 özeti hesaplanır ve ardından yayıncının RSA özel anahtarı kullanılarak imzalanır. Bu SHA-1 özetinin parmak izi ile ilgisi yoktur openssl x509 -fingerprint veya tarayıcı içinde, çünkü bu yalnızca tbsCertificate bölümündedir.

Bu kez ortak anahtarların özetlerini kullanabilen birkaç ilişkili olmayan uzantı da vardır: Konu Anahtarı Tanımlayıcısı ve Yetkili Anahtar Tanımlayıcısı . Bunlar isteğe bağlıdır (ve sertifikanın TBS içeriği içinde).

39
Bruno