今天遇到一個很少遇到的關(guān)于SSL證書申請、安裝問題，簡要記錄下來。

企業(yè)建站必須是能夠以充分展現(xiàn)企業(yè)形象為主要目的，是企業(yè)文化與產(chǎn)品對外擴展宣傳的重要窗口，一個合格的網(wǎng)站不僅僅能為公司帶來巨大的互聯(lián)網(wǎng)上的收集和信息發(fā)布平臺，創(chuàng)新互聯(lián)建站面向各種領(lǐng)域：效果圖設(shè)計等成都網(wǎng)站設(shè)計、成都營銷網(wǎng)站建設(shè)解決方案、網(wǎng)站設(shè)計等建站排名服務(wù)。

背景：SSL證書是private key + public key一起工作才能完成加密過程的。

大致來說就是client在handshake過程中先拿public key加密發(fā)送隨機session encryption key set以及其它關(guān)鍵信息，通過public key密碼的報文只能通過server端安裝的SSL certificate key pair中的private key才能進行解密。

如果private key與public key不匹配，那么首先是server端在安裝的時候就會提示密鑰對不匹配并拒絕安裝；其次，即便server允許安裝不正確的證書對，那么在實際運行中，因為server無法解密client發(fā)送的加密報文，也會造成SSL handshake過程失敗，進而導(dǎo)致session無法繼續(xù)。

But, 證書購買過程會涉及到域名驗證等等操作，可能在有的公司里面不會將此操作交由工程師完成，故作為運維人員的們即便明白SSL如何工作與申請、部署等等，也有可能等領(lǐng)導(dǎo)購買并生成SSL證書對。

那么拿到證書對的時候，應(yīng)該如何驗證private key與public key是不是一對的呢？

可以通過openssl工具public key信息提取然后進行精準(zhǔn)的對比，命令如下

1). 針對private key（以rsa為例）

openssl rsa -pubout -in cert.key

2). 針對public key

openssl x509 -pubkey -noout -in cert.crt

然后對比兩次輸出，如果是正常的話，那么-----BEGIN PUBLIC KEY-----與-----END PUBLIC KEY-----之間的內(nèi)容應(yīng)該是完全一致的。

再借助diff工具，那么不必自己斗雞眼對看長長的信息了

diff -eq <(openssl x509 -pubkey -noout -in cert.crt) <(openssl rsa -pubout -in cert.key)

如果是正常的話，上面的輸出應(yīng)該是與下面類似

writing RSA key

這表明，除了writing RSA key這部分內(nèi)容以外均相同

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)頁名稱：openssl校驗SSL證書publickey是否配對-創(chuàng)新互聯(lián)
當(dāng)前網(wǎng)址：http://weahome.cn/article/dgjdjs.html