Validación de los certificados

Puede validar los certificados que descarga para el cifrado y testificación de contrato.

Descarga de los certificados

Descargue los certificados siguientes:

Obtenga los certificados DigiCert. El certificado DigiCert Trusted Root G4 se puede descargar aquíy el certificado intermedio Digicert G4 se puede descargar aquí.
Obtenga el certificado intermedio de IBM. La tabla siguiente lista las fechas de caducidad de los certificados intermedios basándose en la versión de la imagen.

A partir del 25 de marzo de 2025, se modifican los enlaces de los certificados.

Fechas de expiración de los certificados intermedios
Versión de imagen	Enlace de certificado	Fecha de caducidad
`ibm-hyper-protect-container-runtime-1-0-s390x-23`	certificate	1 de septiembre de 2026
`ibm-hyper-protect-container-runtime-1-0-s390x-22`	certificate	1 de septiembre de 2026
`ibm-hyper-protect-container-runtime-1-0-s390x-21`	certificate	1 de septiembre de 2026
`ibm-hyper-protect-container-runtime-1-0-s390x-20`	certificate	1 de septiembre de 2026
`ibm-hyper-protect-container-runtime-1-0-s390x-19`	certificate	1 de septiembre de 2026
`ibm-hyper-protect-container-runtime-1-0-s390x-18`	certificate	03 de junio de 2026
`ibm-hyper-protect-container-runtime-1-0-s390x-17`	certificate	03 de junio de 2026

Asegúrese de utilizar los certificados correspondientes a la imagen de tiempo de ejecución del contenedor de hyper protect para el cifrado y la testificación del contrato.

Validación del certificado de cifrado de contrato

Realice los pasos siguientes en un sistema Ubuntu para validar el certificado de cifrado:

Utilice el siguiente comando para verificar el certificado CA:

openssl verify -crl_download -crl_check DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem

Utilice el mandato siguiente para verificar el certificado de clave de firma:

openssl verify -crl_download -crl_check -untrusted DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt

Si el comando OpenSSL no se ejecuta, descargue la CRL y verifique el certificado manualmente utilizando el siguiente comando:

openssl verify -untrusted DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem -CRLfile DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crl ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt

Complete los siguientes pasos para verificar la firma del documento del certificado de atestación:
1. Extraiga la clave de firma pública en un archivo. En el siguiente ejemplo, el archivo se llama pubkey.pem:
```
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt -pubkey -noout >  pubkey.pem
```
2. Extraiga la firma de clave de cifrado del documento de certificado de cifrado. El mandato siguiente devuelve el valor de desplazamiento de la firma:
```
openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt | tail -1 | cut -d : -f 1
```
  Tenga en cuenta que la salida del mandato es <offset_value>. Utilice este <offset_value> para extraer la firma de clave de cifrado en un archivo denominado firma:
```
openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt -out signature -strparse <offset_value> -noout
```
3. Extraiga el cuerpo del documento de certificado de cifrado en un archivo llamado cuerpo.
```
openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt -out body -strparse 4 -noout
```
4. Verifique la firma utilizando los archivos de firma y cuerpo:
```
openssl sha512 -verify pubkey.pem -signature signature body
```

Verifique el emisor de los certificados. Compare la salida de los dos mandatos siguientes. La salida debe coincidir.

openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt  -issuer -noout
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt -subject -noout
```5. Verifique que el documento de certificado de cifrado sigue siendo válido comprobando la salida del mandato siguiente:

```sh {: pre}
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt -dates -noout

Validación del certificado de testificación

Realice los pasos siguientes en un sistema Ubuntu para validar el certificado de testificación:

Utilice el siguiente comando para verificar el certificado CA:

openssl verify -crl_download -crl_check DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem

Utilice el mandato siguiente para verificar el certificado de clave de firma:

openssl verify -crl_download -crl_check -untrusted DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt

Realice los pasos siguientes para verificar la firma del documento de certificado cifrado:
1. Extraiga la clave de firma pública en un archivo. En el siguiente ejemplo, el archivo se llama pubkey.pem:
```
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt -pubkey -noout >  pubkey.pem
```
2. Extraiga la firma de clave de testificación del documento de certificado de testificación. El mandato siguiente devuelve el valor de desplazamiento de la firma:
```
openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-23-attestation.crt | tail -1 | cut -d : -f 1
```
  Tenga en cuenta que la salida del mandato es <offset_value>. Utilice este <offset_value> para extraer la firma de clave de testificación en un archivo llamado firma:
```
openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-23-attestation.crt -out signature -strparse <offset_value> -noout
```
3. Extraiga el cuerpo del documento de certificado de testificación en un archivo llamado cuerpo.
```
openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-23-attestation.crt -out body -strparse 4 -noout
```
4. Verifique la firma utilizando los archivos de firma y cuerpo:
```
openssl sha512 -verify pubkey.pem -signature signature body
```

Verifique el emisor de los certificados. Compare la salida de los dos mandatos siguientes. La salida debe coincidir.

openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-attestation.crt -issuer -noout
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt -subject -noout

Verifique que el documento de certificado de testificación sigue siendo válido comprobando la salida del mandato siguiente:
```
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-attestation.crt -dates -noout
```

Lista de revocación de certificados

Los certificados contienen Puntos de distribución de lista de revocación de certificados (CRL). Puede utilizar la CRL para verificar que los certificados son válidos (no revocados).

Extraiga y descargue la URL CRL del certificado de atestación o cifrado:

openssl x509 -in "ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt" -noout -ext crlDistributionPoints
crl_url= https://ibm.biz/hyper-protect-container-runtime-0b8907-crl-1 # (example)
curl --location --silent "$crl_url" --output "ibm-hyper-protect-container-runtime.crl"

Verifique que la CRL es válida (compruebe las fechas válidas y el emisor):
```
openssl crl -text -noout -in "ibm-hyper-protect-container-runtime.crl"
```

Verifique la firma de CRL:

openssl x509 -in "ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt" -pubkey -noout -out pubkey
bbegin="$(openssl asn1parse -in "ibm-hyper-protect-container-runtime.crl" | head -2 | tail -1 | cut -d : -f 1)"
bend="$(openssl asn1parse -in "ibm-hyper-protect-container-runtime.crl" | tail -1 | cut -d : -f 1)"
openssl asn1parse -in "ibm-hyper-protect-container-runtime.crl" -out signature -strparse $bend -noout
openssl asn1parse -in "ibm-hyper-protect-container-runtime.crl" -out body -strparse $bbegin -noout
openssl sha512 -verify pubkey -signature signature body

Compruebe que el documento del certificado de cifrado es válido:
1. Extraiga la serie del certificado de cifrado:
```
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt -noout -serial
serial=F0E13E14FABECF4BA192C1FE9FE48891 # (example)
```
2. Exporte el valor de 'serial' ejecutando el mandato siguiente:
```
export serial=F0E13E14FABECF4BA192C1FE9FE48891 # (example)
```
  Puede verificar si el valor está establecido ejecutando el siguiente comando:
```
echo $serial
```
3. Verifique que el certificado no esté listado en la CRL:
```
openssl crl -text -noout -in "ibm-hyper-protect-container-runtime.crl" | grep -q "$serial" && echo REVOKED || echo OK
```
No se debe utilizar un documento de certificado de cifrado revocado para cifrados adicionales.
Compruebe que el documento del certificado de atestación es válido:
1. Extraiga la serie del certificado de testificación:
```
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-attestation.crt -noout -serial
serial=D81F1467D9C543F6688960B8C6BDB578  # (example)
```
2. Exporte el valor de 'serial' ejecutando el mandato siguiente:
```
export serial=D81F1467D9C543F6688960B8C6BDB578  # (example)
```
  Puede verificar si el valor está establecido ejecutando el siguiente comando:
```
echo $serial
```
3. Verifique que el certificado no esté listado en la CRL:
```
openssl crl -text -noout -in "ibm-hyper-protect-container-runtime.crl" | grep -q "$serial" && echo REVOKED || echo OK
```
No debe iniciarse una imagen con un documento de certificado de testificación revocado.