驗證憑證

您可以驗證您下載用於合約加密及認證的憑證。

下載憑證

下載下列憑證:

取得 DigiCert 憑證。您可以在這裡下載 DigiCert 授信主要 G4 憑證，也可以在這裡下載 Digicert G4 中繼憑證。
取得 IBM 中繼憑證。下表根據映像檔版本列出中繼憑證的到期日。

自 2025 年 3 月 25 日起，憑證連結會有所變更。

中級憑證有效期限
映像檔版本	憑證鏈結	到期日
`ibm-hyper-protect-container-runtime-1-0-s390x-23`	憑證	2026 年 9 月 1 日
`ibm-hyper-protect-container-runtime-1-0-s390x-22`	憑證	2026 年 9 月 1 日
`ibm-hyper-protect-container-runtime-1-0-s390x-21`	憑證	2026 年 9 月 1 日
`ibm-hyper-protect-container-runtime-1-0-s390x-20`	憑證	2026 年 9 月 1 日
`ibm-hyper-protect-container-runtime-1-0-s390x-19`	憑證	2026 年 9 月 1 日
`ibm-hyper-protect-container-runtime-1-0-s390x-18`	憑證	2026 年 6 月 3 日
`ibm-hyper-protect-container-runtime-1-0-s390x-17`	憑證	2026 年 6 月 3 日

請確保使用對應於 Hyper Protect 儲存器執行時期映像檔的憑證，以進行合約加密及認證。

驗證合約加密憑證

在 Ubuntu 系統上完成下列步驟，以驗證加密憑證:

使用下列指令來驗證 CA 憑證:

openssl verify -crl_download -crl_check DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem

使用下列指令來驗證簽署金鑰憑證:

openssl verify -crl_download -crl_check -untrusted DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt

如果 OpenSSL 指令無法執行，請下載 CRL 並使用以下指令手動驗證憑證：

openssl verify -untrusted DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem -CRLfile DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crl ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt

完成以下步驟來驗證認證證書文件的簽章：

將公開簽署金鑰解壓縮至檔案。在以下範例中，檔案名稱為 pubkey.pem：

openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt -pubkey -noout >  pubkey.pem

從加密憑證文件擷取加密金鑰簽章。下列指令會傳回簽章的偏移值:

openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt | tail -1 | cut -d : -f 1

請考量指令的輸出是 <offset_value>。使用此 <offset_value> 可將加密金鑰簽章擷取至稱為簽章的檔案:

openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt -out signature -strparse <offset_value> -noout

將加密憑證文件的內文擷取至稱為 body 的檔案。

openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt -out body -strparse 4 -noout

使用簽章和內文檔來驗證簽章:

openssl sha512 -verify pubkey.pem -signature signature body

驗證證書頒發者。比較下列兩個指令的輸出。輸出應該相符。

openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt  -issuer -noout
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt -subject -noout
```5. 透過檢查下列指令的輸出，驗證加密憑證文件是否仍然有效:

```sh {: pre}
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt -dates -noout

驗證認證憑證

在 Ubuntu 系統上完成下列步驟，以驗證認證憑證:

使用下列指令來驗證 CA 憑證:

openssl verify -crl_download -crl_check DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem

使用下列指令來驗證簽署金鑰憑證:

openssl verify -crl_download -crl_check -untrusted DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt.pem ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt

完成下列步驟，以驗證已加密憑證文件的簽章:

將公開簽署金鑰解壓縮至檔案。在以下範例中，檔案名稱為 pubkey.pem：

openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt -pubkey -noout >  pubkey.pem

從認證憑證文件中擷取認證金鑰簽章。下列指令會傳回簽章的偏移值:

openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-23-attestation.crt | tail -1 | cut -d : -f 1

請考量指令的輸出是 <offset_value>。使用此 <offset_value>，將認證金鑰簽章擷取至稱為簽章的檔案:

openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-23-attestation.crt -out signature -strparse <offset_value> -noout

將認證憑證文件的主體擷取至稱為主體的檔案。

openssl asn1parse -in ibm-hyper-protect-container-runtime-1-0-s390x-23-attestation.crt -out body -strparse 4 -noout

使用簽章和內文檔來驗證簽章:

openssl sha512 -verify pubkey.pem -signature signature body

驗證證書頒發者。比較下列兩個指令的輸出。輸出應該相符。

openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-attestation.crt -issuer -noout
openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt -subject -noout

透過檢查下列指令的輸出，驗證認證憑證文件是否仍然有效:

openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-attestation.crt -dates -noout

憑證撤銷清單

憑證包含 憑證撤銷清冊 (CRL) 配送點。您可以使用 CRL 來驗證您的憑證是否有效 (未撤銷)。

從證明或加密證書中提取並下載 CRL URL：

openssl x509 -in "ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt" -noout -ext crlDistributionPoints
crl_url= https://ibm.biz/hyper-protect-container-runtime-0b8907-crl-1 # (example)
curl --location --silent "$crl_url" --output "ibm-hyper-protect-container-runtime.crl"

驗證 CRL 是否有效 (檢查有效日期和發證者):

openssl crl -text -noout -in "ibm-hyper-protect-container-runtime.crl"

驗證 CRL 簽章:

openssl x509 -in "ibm-hyper-protect-container-runtime-1-0-s390x-23-intermediate.crt" -pubkey -noout -out pubkey
bbegin="$(openssl asn1parse -in "ibm-hyper-protect-container-runtime.crl" | head -2 | tail -1 | cut -d : -f 1)"
bend="$(openssl asn1parse -in "ibm-hyper-protect-container-runtime.crl" | tail -1 | cut -d : -f 1)"
openssl asn1parse -in "ibm-hyper-protect-container-runtime.crl" -out signature -strparse $bend -noout
openssl asn1parse -in "ibm-hyper-protect-container-runtime.crl" -out body -strparse $bbegin -noout
openssl sha512 -verify pubkey -signature signature body

驗證加密證書文件是否有效：

從加密憑證擷取序列:

openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-encrypt.crt -noout -serial
serial=F0E13E14FABECF4BA192C1FE9FE48891 # (example)

執行下列指令，以匯出 'serial' 的值:
```
export serial=F0E13E14FABECF4BA192C1FE9FE48891 # (example)
```
您可以執行下列指令來驗證是否已設定值:
```
echo $serial
```

驗證憑證未列在 CRL 內:

openssl crl -text -noout -in "ibm-hyper-protect-container-runtime.crl" | grep -q "$serial" && echo REVOKED || echo OK

已撤銷的加密憑證文件不得用於進一步加密。

驗證證書文件是否有效：

從認證憑證中擷取序列:

openssl x509 -in ibm-hyper-protect-container-runtime-1-0-s390x-23-attestation.crt -noout -serial
serial=D81F1467D9C543F6688960B8C6BDB578  # (example)

執行下列指令，以匯出 'serial' 的值:
```
export serial=D81F1467D9C543F6688960B8C6BDB578  # (example)
```
您可以執行下列指令來驗證是否已設定值:
```
echo $serial
```

驗證憑證未列在 CRL 內:

openssl crl -text -noout -in "ibm-hyper-protect-container-runtime.crl" | grep -q "$serial" && echo REVOKED || echo OK

不得啟動具有已撤銷認證憑證文件的映像檔。