如何检查公共 RSA 密钥文件

Question

在一个 shell 脚本中，我想验证公共 RSA 文件。 我想做的就是找到一种方法来检查这个文件是一个真正的公钥文件，没有别的。

请问这里的专家有什么方法可以验证这个输入文件以检查这是一个真正的公钥文件，而不是一个普通文件。

我将来会使用这个公钥文件来验证传入的加密 gzip 文件，但现在超出了范围。

我想要的只是验证输入文件以检查其真正的 RSA 公钥文件而不是普通文件。请注意我没有任何其他文件（例如：私钥）。

例如：如果文件是‘public.pem’，我只想在里面检查它是一个真正的 RSA 公钥文件，而不仅仅是一个带有文本的文件或文件没有损坏。 我已经在检查文件不是零大小和 md5 。

我发现的其他可能的检查 检查文件得到文本‘BEGIN PUBLIC KEY’ 和‘END PUBLIC KEY’ 在 google 中也找到了这个命令，有没有更好的方法使用 openssl 来做到这一点

‘openssl rsa -noout -text -inform PEM -in pubkey.pem -pubin’

谢谢

Answer 1

可以使用任何公钥格式解析器，包括openssl，甚至可以自己解析密钥，因为格式并不难。

当解析失败时，命令行工具设置一个非零的退出代码：

openssl rsa -inform PEM -pubin -in pubkey.pem -noout &> /dev/null
if [ $? != 0 ] ; then
    echo "this was definitely not a RSA public key in PEM format"
    exit 1
fi

只是为了检查任何公钥：

openssl pkey -inform PEM -pubin -in pubkey.pem -noout &> /dev/null
if [ $? != 0 ] ; then
    echo "this was definitely not a public key in PEM format"
    exit 1
fi

Answer 2

以下脚本应该适用于 OpenSSL 支持的所有 PEM 格式的密钥和证书。我已经在具有匹配和不匹配证书的各种有效和无效 ECDSA 和 RSA 密钥上对其进行了测试。

将此保存为 verify-cert-key：

#!/usr/bin/env bash
certFile="${1}"
keyFile="${2}"
certPubKey="$(openssl x509 -noout -pubkey -in "${certFile}")"
keyPubKey="$(openssl pkey -pubout -in "${keyFile}")"
if [[ "${certPubKey}" == "${keyPubKey}" ]]
then
  echo "PASS: key and cert match"
else
  echo "FAIL: key and cert DO NOT match"
fi

使其可执行：

chmod +x verify-cert-key

在证书和密钥上运行它：

./verify-cert-key server-crt.pem server-key.pem