openssl dgstを使用したファイル署名の検証

Question

私はいくつかのJavaコードでパケットに署名しています。Cサーバーで署名を確認したいです。この目的のためにopensslをフォークしたいです（後でライブラリ関数をいつでも使用できます... opensslは署名を検証できます）;ただし、検証に失敗しています：

openssl dgst -verify cert.pem -signature file.sha1 file.data

「キーファイルをロードできません」

証明書は言う：

openssl verify cert.pem cert.pem: /C=.... error 20 at 0 depth lookup:unable to get local issuer certificate

ただし、証明書の検証については特に気にしません。特定のファイルの署名のみを検証します。

openssl x509 -in cert.pem -noout -textの出力は次のとおりです。

Certificate: Data: Version: 1 (0x0) Serial Number: ... Signature Algorithm: sha1WithRSAEncryption Issuer: C=... Validity Not Before: Feb 1 15:22:44 2010 GMT Not After : Jun 19 15:22:44 2037 GMT Subject: C=... Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:cc:cc:f9:c7:3a:00:0f:07:90:55:d9:fb:a9:fe: ... 32:cc:ee:7f:f2:01:c7:35:d2:b5:9b:35:dd:69:76: 00:a9 Exponent: 65537 (0x10001) Signature Algorithm: sha1WithRSAEncryption 39:d6:2c:6b:6a:00:74:b5:81:c2:b8:60:d6:6b:54:11:41:8d: ... 8f:3e:3f:5d:b3:f8:dd:5e

Thomas Pornin · Accepted Answer

openssl dgst -verify foo.pemはfoo.pemには、PEM形式の「生の」公開鍵が含まれています。生の形式は、証明書内にあるSubjectPublicKeyInfo構造のエンコードです。だが openssl dgst一度に完全な証明書を処理することはできません。

最初に証明書から公開鍵を抽出する必要があります。

openssl x509 -pubkey -noout -in cert.pem > pubkey.pem

次に、キーを使用して署名を検証します。

openssl dgst -verify pubkey.pem -signature sigfile datafile