从公钥生成SHA256哈希值

Question

从公钥生成SHA256哈希值

3

我正在尝试从公钥证书中读取sha256哈希值。证书如下所示。

我正在运行以下命令来读取sha256哈希值，但它没有给出正确的结果：

openssl x509 -in test.crt -pubkey -noout | openssl rsa -pubin -outform der | \
  openssl dgst -sha256 -binary | openssl enc -base64

我得到了一些错误的值 RTy7aSpufwRDWUudgZCwR5Xc7NETd6Imk4YlzvgKTRU=

正确的值为:

sha256/i1RfARNCYn9+K3xmRNTaXG9sVSK6TMgY9l8SDm3MUZ4=
sha256/7HIpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhJ3Y=
sha256/h6801m+z8v3zbgkRHpq6L29Esgfzhj89C1SyUCOQmqU=

我想知道为什么会有三个值，虽然只有一个是正确的，但是为了验证这些值，我运行了下面给出的示例程序：

public class Main {

    public static void main(String[] args) throws IOException {
        HttpLoggingInterceptor interceptor = new HttpLoggingInterceptor();
        interceptor.setLevel(HttpLoggingInterceptor.Level.BODY);
        String hostName = "www.google.com";
        CertificatePinner certificatePinner = new CertificatePinner.Builder()
                .add(hostName, "sha256/pqrmt")
                .build();
        OkHttpClient client = new OkHttpClient.Builder()
                .addNetworkInterceptor(interceptor)
                .certificatePinner(certificatePinner)
                .build();
        Request request = new Request.Builder()
                .url("https://" + hostName)
                .build();
        client.newCall(request).execute();

    }
}

当我添加了错误的密钥哈希时，错误日志会给出正确的密钥哈希。使用正确的密钥哈希可以轻松地进行通信。

- silentsudo

2

证书中只有一个公钥，你从哪里获取了你的三个“正确”值？ - Robby Cornelissen

嗨，Robbey，我添加了更多的代码，这些额外的哈希值是从哪里生成的，以及我如何验证我的生成哈希值是否正确，请看一下。 - silentsudo

你计算值的方式看起来正确，并且与Mozilla文档中记录的方式相匹配。但是，是什么让你认为你所认为的正确值确实是正确的呢？特别是这三个值中哪一个才是正确的？ - Steffen Ullrich

@SteffenUllrich 我运行了这个命令来获取证书 openssl s_client -connect google.com:443，当我使用无效的哈希值运行示例程序时，日志中给出了有效的哈希值，当我使用其中任何一个替换无效的哈希值时，连接就建立了。 - silentsudo

1

@sector11：我猜你从google.com获取了证书，但你的代码却检查了www.google.com - 这两个网站使用不同的证书。 - Steffen Ullrich

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Steffen Ullrich · Accepted Answer

sha256/i1RfARNCYn9+K3xmRNTaXG9sVSK6TMgY9l8SDm3MUZ4=

当访问www.google.com时，该PIN与返回的叶子证书匹配：

$ openssl s_client -connect www.google.com:443 |\
   openssl x509  -pubkey -noout |\
   openssl pkey -pubin -outform der |\
   openssl dgst -sha256 -binary |\
   openssl enc -base64
...
depth=0 ... CN = www.google.com
i1RfARNCYn9+K3xmRNTaXG9sVSK6TMgY9l8SDm3MUZ4=

然而，如果您仔细查看访问www.google.com时返回的证书，您会发现它具有CN：www.google.com。相反，您在问题中包含的证书具有CN：*.google.com，即不同的证书。如果您访问google.com而不是www.google.com，则会返回此证书：

$ openssl s_client -connect google.com:443 |\
   openssl x509  -pubkey -noout |\
   openssl pkey -pubin -outform der |\
   openssl dgst -sha256 -binary |\
   openssl enc -base64
...
depth=0 ... CN = *.google.com
RTy7aSpufwRDWUudgZCwR5Xc7NETd6Imk4YlzvgKTRU=

如您所见，您计算的公钥指纹是正确的。只是因为您将这些指纹与错误的网站进行了比较，所以您对正确指纹的假设是不正确的。