背景：SSL证书是private key + public key一起工作才能完成加密过程的。

大致来说就是client在handshake过程中先拿public key加密发送随机session encryption key set以及其它关键信息，通过public key密码的报文只能通过server端安装的SSL certificate key pair中的private key才能进行解密。

如果private key与public key不匹配，那么首先是server端在安装的时候就会提示密钥对不匹配并拒绝安装；其次，即便server允许安装不正确的证书对，那么在实际运行中，因为server无法解密client发送的加密报文，也会造成SSL handshake过程失败，进而导致session无法继续。

But, 证书购买过程会涉及到域名验证等等操作，可能在有的公司里面不会将此操作交由工程师完成，故作为运维人员的们即便明白SSL如何工作与申请、部署等等，也有可能等领导购买并生成SSL证书对。

那么拿到证书对的时候，应该如何验证private key与public key是不是一对的呢？

可以通过openssl工具public key信息提取然后进行精准的对比，命令如下

1). 针对private key（以rsa为例）

2). 针对public key

然后对比两次输出，如果是正常的话，那么-----BEGIN PUBLIC KEY-----与-----END PUBLIC KEY-----之间的内容应该是完全一致的。

再借助diff工具，那么不必自己斗鸡眼对看长长的信息了