Zertifikate validieren

Sie können die Zertifikate validieren, die Sie für die Vertragsverschlüsselung und Attestierung herunterladen.

Zertifikate herunterladen

Laden Sie die folgenden Zertifikate herunter:

Rufen Sie die DigiCert-Zertifikate ab. Das Zertifikat DigiCert Trusted Root G4 kann hierheruntergeladen werden und das Zwischenzertifikat G4 kann hierheruntergeladen werden.
Rufen Sie das IBM Zwischenzertifikat ab. In der folgenden Tabelle sind die Ablaufdaten für die Zwischenzertifikate basierend auf der Imageversion aufgelistet.

Ab dem 25. März 2025 werden die Zertifikatsverknüpfungen geändert.

Ablaufdaten von Zwischenzeugnissen
Imageversion	Zertifikatlink	Ablaufdatum
`ibm-hyper-protect-container-runtime-1-0-s390x-23`	certificate	September 2026
`ibm-hyper-protect-container-runtime-1-0-s390x-22`	certificate	September 2026
`ibm-hyper-protect-container-runtime-1-0-s390x-21`	certificate	September 2026
`ibm-hyper-protect-container-runtime-1-0-s390x-20`	certificate	September 2026
`ibm-hyper-protect-container-runtime-1-0-s390x-19`	certificate	September 2026
`ibm-hyper-protect-container-runtime-1-0-s390x-18`	certificate	Juni 2026
`ibm-hyper-protect-container-runtime-1-0-s390x-17`	certificate	Juni 2026

Stellen Sie sicher, dass die Zertifikate verwendet werden, die dem Hyper-Protect-Container-Laufzeitimage für die Vertragsverschlüsselung und -attestierung entsprechen.

Zertifikat für Vertragsverschlüsselung validieren

Führen Sie die folgenden Schritte auf Ubuntu-Systemen aus, um das Verschlüsselungszertifikat zu validieren:

Verwenden Sie den folgenden Befehl, um das CA-Zertifikat zu überprüfen:

openssl verify -crl_download -crl_check DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem

Verwenden Sie den folgenden Befehl, um das Signaturschlüsselzertifikat zu überprüfen:

openssl verify -crl_download -crl_check -untrusted DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt

Wenn der Befehl OpenSSL nicht ausgeführt werden kann, laden Sie die CRL herunter und überprüfen Sie das Zertifikat manuell mit dem folgenden Befehl:

openssl verify -untrusted DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem -CRLfile ibm-hyper-protect-container-runtime-1-0-s390x-intermediate.crl ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt

Führen Sie die folgenden Schritte aus, um die Signatur des Bescheinigungszertifikatsdokuments zu überprüfen:
1. Extrahieren Sie den öffentlichen Signierschlüssel in eine Datei. Im folgenden Beispiel heißt die Datei pubkey.pem:
```
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt -pubkey -noout >  pubkey.pem
```
2. Extrahieren Sie die Chiffrierschlüsselsignatur aus dem Verschlüsselungszertifikatsdokument. Der folgende Befehl gibt den Offsetwert der Signatur zurück:
```
openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt | tail -1 | cut -d : -f 1
```
  Beachten Sie, dass die Ausgabe des Befehls <offset_value> ist. Verwenden Sie diese <offset_value>, um die Signatur des Verschlüsselungsschlüssels in eine Datei mit dem Namen 'signature' zu extrahieren:
```
openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt -out signature -strparse <offset_value> -noout
```
3. Extrahieren Sie den Hauptteil des Verschlüsselungszertifikatsdokuments in eine Datei namens body.
```
openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt -out body -strparse 4 -noout
```
4. Überprüfen Sie die Signatur mithilfe der Signatur und der Hauptteildateien:
```
openssl sha512 -verify pubkey.pem -signature signature body
```

Überprüfen Sie den Aussteller der Zertifikate. Vergleichen Sie die Ausgabe der beiden folgenden Befehle. Die Ausgabe sollte übereinstimmen.

openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt  -issuer -noout
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt -subject -noout
```5. Überprüfen Sie, ob das Verschlüsselungszertifikatsdokument noch gültig ist, indem Sie die Ausgabe des folgenden Befehls überprüfen:

```sh {: pre}
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt -dates -noout

Beglaubigungszertifikat validieren

Führen Sie die folgenden Schritte auf einem Ubuntu-System aus, um das Attestierungszertifikat zu validieren:

Verwenden Sie den folgenden Befehl, um das CA-Zertifikat zu überprüfen:

openssl verify -crl_download -crl_check DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem

Verwenden Sie den folgenden Befehl, um das Signaturschlüsselzertifikat zu überprüfen:

openssl verify -crl_download -crl_check -untrusted DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt

Führen Sie die folgenden Schritte aus, um die Signatur des verschlüsselten Zertifikatsdokuments zu überprüfen:
1. Extrahieren Sie den öffentlichen Signierschlüssel in eine Datei. Im folgenden Beispiel heißt die Datei pubkey.pem:
```
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt -pubkey -noout >  pubkey.pem
```
2. Extrahieren Sie die Signatur des Attestierungsschlüssels aus dem Attestierungszertifikatsdokument. Der folgende Befehl gibt den Offsetwert der Signatur zurück:
```
openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-23-attestation.crt | tail -1 | cut -d : -f 1
```
  Beachten Sie, dass die Ausgabe des Befehls <offset_value> ist. Verwenden Sie diese <offset_value>, um die Signatur des Attestierungsschlüssels in eine Datei mit dem Namen 'signature' zu extrahieren:
```
openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-23-attestation.crt -out signature -strparse <offset_value> -noout
```
3. Extrahieren Sie den Hauptteil des Attestierungszertifikatsdokuments in eine Datei mit dem Namen body.
```
openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-23-attestation.crt -out body -strparse 4 -noout
```
4. Überprüfen Sie die Signatur mithilfe der Signatur und der Hauptteildateien:
```
openssl sha512 -verify pubkey.pem -signature signature body
```

Überprüfen Sie den Aussteller der Zertifikate. Vergleichen Sie die Ausgabe der beiden folgenden Befehle. Die Ausgabe sollte übereinstimmen.

openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-attestation.crt -issuer -noout
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt -subject -noout

Stellen Sie sicher, dass das Attestierungszertifikatsdokument noch gültig ist, indem Sie die Ausgabe des folgenden Befehls überprüfen:
```
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-attestation.crt -dates -noout
```

Zertifikatswiderrufsliste

Die Zertifikate enthalten CRL-Verteilungspunkte (Certificate Revocation List). Sie können die CRL verwenden, um zu überprüfen, ob Ihre Zertifikate gültig sind (nicht widerrufen).

Extrahieren und laden Sie die URL aus dem Bescheinigungs- oder Verschlüsselungszertifikat herunter:

openssl x509 -in "ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt" -noout -ext crlDistributionPoints
crl_url= https://ibm.biz/hyper-protect-container-runtime-0b8907-crl-1 # (example)
curl --location --silent "$crl_url" --output "ibm-hyper-protect-container-runtime.crl"

Stellen Sie sicher, dass die CRL gültig ist (überprüfen Sie die gültigen Datumsangaben und den Aussteller):
```
openssl crl -text -noout -in "ibm-hyper-protect-container-runtime.crl"
```

Überprüfen Sie die CRL-Signatur:

openssl x509 -in "ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt" -pubkey -noout -out pubkey
bbegin="$(openssl asn1parse -in "ibm-hyper-protect-container-runtime.crl" | head -2 | tail -1 | cut -d : -f 1)"
bend="$(openssl asn1parse -in "ibm-hyper-protect-container-runtime.crl" | tail -1 | cut -d : -f 1)"
openssl asn1parse -in "ibm-hyper-protect-container-runtime.crl" -out signature -strparse $bend -noout
openssl asn1parse -in "ibm-hyper-protect-container-runtime.crl" -out body -strparse $bbegin -noout
openssl sha512 -verify pubkey -signature signature body

Überprüfen Sie, ob das Verschlüsselungszertifikatsdokument gültig ist:
1. Extrahieren Sie die Seriennummer aus dem Verschlüsselungszertifikat:
```
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt -noout -serial
serial=F0E13E14FABECF4BA192C1FE9FE48891 # (example)
```
2. Exportieren Sie den Wert 'serial', indem Sie den folgenden Befehl ausführen:
```
export serial=F0E13E14FABECF4BA192C1FE9FE48891 # (example)
```
  Sie können überprüfen, ob der Wert eingestellt ist, indem Sie den folgenden Befehl ausführen:
```
echo $serial
```
3. Stellen Sie sicher, dass das Zertifikat nicht in der CRL aufgeführt ist:
```
openssl crl -text -noout -in "ibm-hyper-protect-container-runtime.crl" | grep -q "$serial" && echo REVOKED || echo OK
```
Ein widerrufenes Verschlüsselungszertifikatsdokument darf nicht für weitere Verschlüsselungen verwendet werden.
Überprüfen Sie, ob das Attestierungszertifikatsdokument gültig ist:
1. Extrahieren Sie die Seriennummer aus dem Attestierungszertifikat:
```
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-attestation.crt -noout -serial
serial=D81F1467D9C543F6688960B8C6BDB578  # (example)
```
2. Exportieren Sie den Wert 'serial', indem Sie den folgenden Befehl ausführen:
```
export serial=D81F1467D9C543F6688960B8C6BDB578  # (example)
```
  Sie können überprüfen, ob der Wert eingestellt ist, indem Sie den folgenden Befehl ausführen:
```
echo $serial
```
3. Stellen Sie sicher, dass das Zertifikat nicht in der CRL aufgeführt ist:
```
openssl crl -text -noout -in "ibm-hyper-protect-container-runtime.crl" | grep -q "$serial" && echo REVOKED || echo OK
```
Ein Image mit einem widerrufenen Attestierungszertifikatsdokument darf nicht gestartet werden.