Digitale Signaturen prüfen

Wenn Sie überprüfen möchten, ob Ihr IBM Passport Advantage-Software-Download gültig ist und von IBM signiert wurde, führen Sie die folgenden Schritte aus.

Informationen zu diesem Vorgang

Jedes Paket für Passport Advantage enthält Folgendes:
  • RPM
  • Signatur
  • öffentlicher Schlüssel
  • Zertifikat
  • Zwischenzertifikat

Vorgehensweise

  1. Verwenden Sie openssl mit der Signaturdatei, dem öffentlichen Schlüssel und RPM, um die digitale Signatur zu überprüfen: Beispiel: 
    openssl dgst -sha256 -verify noicodesigners-public-key.pem -signature nasm-common-1.1.10-7.x86_64.rpm.sig nasm-common-1.1.10-7.x86_64.rpm
    Ausgabe:
    Überprüft OK
  2. Optional: Überprüfen Sie, ob der öffentliche Schlüssel aus dem bereitgestellten Zertifikat stammt.
    1. Extrahieren Sie den öffentlichen Schlüssel aus dem Zertifikat: 
      # openssl x509 -noout -pubkey -in noicodesigners-certificate.pem 
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAr17olFvTAcZgOI2g+v+6
aEQyC+9SsNresmz5K1BSJYiiVfo/XLfAtywNk+nvxL88COxhBl49WVVW1qhuSiCd
VXNEjt3J9jgieWaBvcYB0O1ko/hVETFpulyVkE24WH8kmBXFhUmu9S0CRB1dp5H1
0ozIlVwihn3PZQWAFYT4tjKh6Xffldttq41i7nRAyDnqI0HSjXExy6WhrFhBnZkO
sy4CPuPPKYqYnZbpmMyUJLyW/+mnMH2SyqkFreI+YQHNHV8HXncIcg06zbkcJS25
u+b/qJJy/s00BXPOAWW3q7zbGXGJ+JxhZKnbHAlGYZHMtt+ZaQZ7nMVbL5jVI/Sm
XwIDAQAB
-----END PUBLIC KEY-----
    2. Vergleichen Sie ihn mit dem Inhalt von: 
      # cat noicodesigners-public-key.pem
  3. Optional: Überprüfen Sie das Codesignierzertifikat.
    1. Überprüfen Sie das Zertifikat, das zum Signieren der Software verwendet wurde: 
      # openssl x509 -inform pem -in noicodesigners-certificate.pem  -noout -subject -issuer -startdate -enddate
      Ausgabe:
      subject= /C=US/ST=New York/L=Armonk/O=International Business Machines Corporation/OU=IBM CCSS/CN=International Business Machines Corporation
issuer= /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 Assured ID Code Signing CA
notBefore=Nov  2 00:00:00 2020 GMT
notAfter=Nov  6 23:59:59 2022 GMT
    2. Überprüfen Sie, ob das Zertifikat nicht widerrufen wurde: 
      openssl ocsp -no_nonce -issuer noicodesigners-certificate-chain.pem -cert noicodesigners-certificate.pem -VAfile noicodesigners-certificate-chain.pem -text -url http://ocsp.digicert.com