IBM Cloud Docs
인증서 유효성 검증

인증서 유효성 검증

계약 암호화 및 증명을 위해 다운로드하는 인증서의 유효성을 검증할 수 있습니다.

인증서 다운로드

다음 인증서를 다운로드하십시오.

  • DigiCert 인증서를 가져오십시오. DigiCert 신뢰할 수 있는 루트 G4 인증서를 여기에서 다운로드할 수 있으며, Digicert G4 중간 인증서를 여기에서 다운로드할 수 있습니다.
  • IBM 중간 인증서를 가져오십시오. 다음 표에는 이미지의 버전을 기반으로 하는 중간 인증서의 만기 날짜가 나열되어 있습니다.

2025년 3월 25일부터 인증서 링크가 변경됩니다.

중간 인증서 만료 날짜
이미지 버전 인증서 링크 만료 날짜
ibm-hyper-protect-container-runtime-1-0-s390x-25 certificate 2027년 8월 03일
ibm-hyper-protect-container-runtime-1-0-s390x-24 certificate 2027년 8월 03일
ibm-hyper-protect-container-runtime-1-0-s390x-23 certificate 2026년 9월 1일
ibm-hyper-protect-container-runtime-1-0-s390x-22 certificate 2026년 9월 1일
ibm-hyper-protect-container-runtime-1-0-s390x-21 certificate 2026년 9월 1일
  • 계약 암호화 및 증명을 위해 하이퍼 보호 컨테이너 런타임 이미지에 해당하는 인증서를 사용해야 합니다.

계약 암호화 인증서 유효성 검증

Ubuntu 시스템에서 다음 단계를 완료하여 암호화 인증서의 유효성을 검증하십시오.

  1. 다음 명령어를 사용하여 CA 인증서를 확인하십시오:

    openssl verify -crl_download -crl_check DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem

  2. 다음 명령을 사용하여 서명 키 인증서를 확인하십시오.

    openssl verify -crl_download -crl_check -untrusted DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem ibm-hyper-protect-container-runtime-1-0-s390x-25-intermediate.crt

    OpenSSL 명령이 실행되지 않으면 다음 명령을 사용하여 CRL을 다운로드하고 인증서를 수동으로 확인합니다:

    openssl verify -untrusted DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem -CRLfile DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crl ibm-hyper-protect-container-runtime-1-0-s390x-25-intermediate.crt

  3. 암호화 인증서 문서의 서명을 확인하려면 다음 단계를 완료하십시오:

    1. 공용 서명 키를 파일로 추출하십시오. 다음 예제에서 파일의 이름은 pubkey.pem 입니다.

      openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-25-intermediate.crt -pubkey -noout >  pubkey.pem

    2. 암호화 인증서 문서에서 암호화 키 서명을 추출하십시오. 암호화 인증서를 다운로드하려면 암호화 인증서 다운로드 및 공개 키 추출을 방문하십시오. 다음 명령은 서명의 오프셋 값을 리턴합니다.

      openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-25-encrypt.crt | tail -1 | cut -d : -f 1

      명령의 출력이 <offset_value> 임을 고려하십시오. 이 <offset_value> 를 사용하여 암호화 키 서명을 서명이라고 하는 파일로 추출하십시오.

      openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-25-encrypt.crt -out signature -strparse <offset_value> -noout

    3. 암호화 인증서 문서의 본문을 본문이라는 파일로 추출하십시오.

      openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-25-encrypt.crt -out body -strparse 4 -noout

    4. 서명 및 본문 파일을 사용하여 서명을 확인하십시오.

      openssl sha512 -verify pubkey.pem -signature signature body

  4. 인증서 발급자를 확인합니다. 다음 두 명령의 출력을 비교하십시오. 출력이 일치해야 합니다.

    openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-25-encrypt.crt  -issuer -noout
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-25-intermediate.crt -subject -noout

  5. 다음 명령의 출력을 확인하여 암호화 인증서 문서가 여전히 유효한지 확인하십시오.

    openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-25-encrypt.crt -dates -noout

증명 인증서 유효성 검증

Ubuntu 시스템에서 다음 단계를 완료하여 증명 인증서의 유효성을 검증하십시오.

  1. 다음 명령어를 사용하여 CA 인증서를 확인하십시오:

    openssl verify -crl_download -crl_check DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem

  2. 다음 명령을 사용하여 서명 키 인증서를 확인하십시오.

    openssl verify -crl_download -crl_check -untrusted DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem ibm-hyper-protect-container-runtime-1-0-s390x-25-intermediate.crt

    OpenSSL 명령이 실행되지 않으면 다음 명령을 사용하여 CRL을 다운로드하고 인증서를 수동으로 확인합니다:

    openssl verify -untrusted DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem -CRLfile DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crl ibm-hyper-protect-container-runtime-1-0-s390x-25-intermediate.crt

  3. 증명 인증서 문서의 서명을 확인하려면 다음 단계를 완료하십시오.

    1. 공용 서명 키를 파일로 추출하십시오. 다음 예제에서 파일의 이름은 pubkey.pem 입니다.

      openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-25-intermediate.crt -pubkey -noout >  pubkey.pem

    2. 증명 인증서 문서에서 증명 키 서명을 추출하십시오. 증명서 다운로드 시 Attestation을 방문하십시오. 다음 명령은 서명의 오프셋 값을 리턴합니다.

      openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-25-attestation.crt | tail -1 | cut -d : -f 1

      명령의 출력이 <offset_value> 임을 고려하십시오. 이 <offset_value> 를 사용하여 증명 키 서명을 서명이라고 하는 파일로 추출하십시오.

      openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-25-attestation.crt -out signature -strparse <offset_value> -noout

    3. 증명 인증서 문서의 본문을 본문이라는 파일로 추출하십시오.

      openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-25-attestation.crt -out body -strparse 4 -noout

    4. 서명 및 본문 파일을 사용하여 서명을 확인하십시오.

      openssl sha512 -verify pubkey.pem -signature signature body

  4. 인증서 발급자를 확인합니다. 다음 두 명령의 출력을 비교하십시오. 출력이 일치해야 합니다.

    openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-25-attestation.crt -issuer -noout
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-25-intermediate.crt -subject -noout

  5. 다음 명령의 출력을 확인하여 증명 인증서 문서가 여전히 유효한지 확인하십시오.

    openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-25-attestation.crt -dates -noout

인증서 취소 목록

인증서에는 인증서 취소 목록 (CRL) 분배 지점이 포함되어 있습니다. CRL을 사용하여 인증서가 유효한지 (취소되지 않았는지) 확인할 수 있습니다.

  1. 증명 또는 암호화 인증서에서 CRL URL 추출하여 다운로드합니다:

    openssl x509 -in "ibm-hyper-protect-container-runtime-1-0-s390x-25-encrypt.crt" -noout -ext crlDistributionPoints
crl_url=https://ibm.biz/hyper-protect-container-runtime-0b8907-crl-1 # (example)
curl --location --silent "$crl_url" --output "ibm-hyper-protect-container-runtime.crl"

  2. CRL이 올바른지 확인하십시오 (올바른 날짜 및 발행자 확인).

    openssl crl -text -noout -in "ibm-hyper-protect-container-runtime.crl"

  3. CRL 서명을 확인하십시오.

    openssl x509 -in "ibm-hyper-protect-container-runtime-1-0-s390x-25-intermediate.crt" -pubkey -noout -out pubkey
bbegin="$(openssl asn1parse -in "ibm-hyper-protect-container-runtime.crl" | head -2 | tail -1 | cut -d : -f 1)"
bend="$(openssl asn1parse -in "ibm-hyper-protect-container-runtime.crl" | tail -1 | cut -d : -f 1)"
openssl asn1parse -in "ibm-hyper-protect-container-runtime.crl" -out signature -strparse $bend -noout
openssl asn1parse -in "ibm-hyper-protect-container-runtime.crl" -out body -strparse $bbegin -noout
openssl sha512 -verify pubkey -signature signature body

  4. 암호화 인증서 문서가 유효한지 확인하십시오:

    1. 암호화 인증서에서 일련 번호를 추출하십시오.

      openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-25-encrypt.crt -noout -serial

      출력 예:

      serial=4B956E1568B55D4C971203F34409BAD5

    2. 다음 명령을 실행하여 'serial' 값을 내보내십시오.

      export serial=4B956E1568B55D4C971203F34409BAD5

      다음 명령어를 실행하여 값이 설정되었는지 확인할 수 있습니다:

      echo $serial

    3. 인증서가 CRL내에 나열되지 않았는지 확인하십시오.

      openssl crl -text -noout -in "ibm-hyper-protect-container-runtime.crl" | grep -q "$serial" && echo REVOKED || echo OK

    폐기된 암호화 인증서 문서는 추가 암호화에 사용해서는 안됩니다.

  5. 인증서 문서가 유효한지 확인하십시오:

    1. 증명 인증서에서 일련 번호를 추출하십시오.

      openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-25-attestation.crt -noout -serial

      출력 예:

      serial=60FCA6CFF60A3F1A8C62C387E6C63781

    2. 다음 명령을 실행하여 'serial' 값을 내보내십시오.

      export serial=60FCA6CFF60A3F1A8C62C387E6C63781

      다음 명령어를 실행하여 값이 설정되었는지 확인할 수 있습니다:

      echo $serial

    3. 인증서가 CRL내에 나열되지 않았는지 확인하십시오.

      openssl crl -text -noout -in "ibm-hyper-protect-container-runtime.crl" | grep -q "$serial" && echo REVOKED || echo OK

    취소된 증명 인증서 문서가 있는 이미지는 시작하지 않아야 합니다.