Cómo determinar el tipo de certificado desde el archivo

Question

No parece haber ningún tipo de convención de nomenclatura estándar para los certificados OpenSSL, por lo que me gustaría saber si hay un comando simple para obtener información importante sobre cualquier certificado OpenSSL, independientemente de tipo. Me gustaría saber al menos el tipo de certificado (x509, RSA, DSA) y si se trata de una clave pública o privada. Al mirar el contenido de un certificado que acabo de extraer de un archivo PKCS12, ninguno de estos se muestra explícitamente.

Answer 1

En primer lugar, usted tiene algunos problemas de terminología:

• el estándar X509 define certificados y RSA y DSA son dos de los algoritmos de clave pública que se pueden utilizar en esos certificados;
• certificados se utilizan para mantener claves públicas, y nunca claves privadas.
• PKCS # 12 es un estándar para un contenedor que puede contener un certificado de cliente X509 y las claves privadas correspondientes, así como (opcionalmente) los certificados X509 de las CA que firmaron los certificados de cliente X509.

lo tanto, si usted está examinando un # 12 de PKCS (típicamente p.12 extensión), entonces ya saben:

• Contiene al menos un certificado de cliente X 509, que contiene una clave pública ; y
• Contiene las claves privadas correspondientes.

Todo lo que usted no sabe es si esos certificados & clave privada son RSA o DSA. Esto se puede comprobar mediante la extracción del certificado (s), y luego examinarlas:

openssl pkcs12 -in mycert.p12 -clcerts -nokeys -out mycert.crt 
openssl x509 -in mycert.crt -text 

La salida de texto de la orden openssl x509 debería incluir una sección Subject Public Key, que incluirá campos que le permiten ver si es un RSA o Tecla DSA (junto con el tamaño de la clave).

Answer 2

Los certificados también se pueden restringir a ciertos usos.

Por ejemplo, podría estar restringido, por lo que no se puede usar como entidad emisora ​​de certificados. Lea también más en this StackOverflow post.