질문
SSL 인증서가 Cisco Email Security Appliance의 관련 키에 의해 서명되었는지 확인하는 방법
환경: Cisco ESA(Email Security Appliance), 모든 버전의 AsyncOS
이 기술 자료 문서에서는 Cisco에서 유지 관리하거나 지원하지 않는 소프트웨어를 참조합니다. 그 정보는 당신의 편의를 위해 제공되었다. 자세한 내용은 소프트웨어 공급업체에 문의하십시오.
SSL 인증서 설치는 TLS 및 LDAP 보안 액세스를 통한 수신/전달을 암호화하기 위한 사전 요구 사항입니다. 인증서는 CLI 명령 'certconfig'를 통해 설치됩니다. 설치할 인증서/키 쌍은 인증서에 서명한 키로 구성되어야 합니다. 이를 준수하지 않으면 인증서/키 쌍을 설치하지 못합니다.
다음 단계는 인증서가 연결된 키로 서명되었는지 여부를 확인하는 데 도움이 됩니다. 'server.key'라는 파일에 개인 키가 있고 'server.cer'에 인증서가 있다고 가정합니다.
- 인증서와 키의 지수 필드가 동일한지 확인합니다. 그렇지 않으면 키는 서명자가 아닙니다. 다음 명령(openssl이 있는 표준 Unix 시스템에서 실행)은 이를 확인하는 데 도움이 됩니다.
$ openssl x509 -noout -text -in server.crt
$ openssl rsa -noout -text -in server.key
인증서와 키의 exponent 필드가 동일한지 확인합니다. 지수 키는 65537과 같아야 합니다.
- 인증서와 키의 모듈러스에서 MD5 해시를 실행하여 동일한 것임을 확인합니다.
$ openssl x509 -noout -modulus -in server.crt | openssl md5
$ openssl rsa -noout -modulus -in server.key | openssl md5
두 MD5 해시가 비슷하면 키가 인증서에 서명했음을 확신할 수 있습니다.
관련 링크
http://www.modssl.org/docs/2.8/ssl_faq.html