OpenSSL学习笔记

SSL缺省只进行server端的认证,客户端的认证是可选的。以下是其流程图(摘自TLS协议)。

加密算法介绍:

  对称加密:

      DES:date encrption standard,56bit

      3DES:

      AES: Advanced

          AES192,AES256,AES512

      Blowfish

  单向加密

    MD4,MD5

    SHA1, SHA192,SHA256,SHA384

    CR3-32

  公钥加密:(加密和签名)

    身份认证(数字签名)

    数据加密

    密钥交换

   RSA:加密、签名

   DSA:签名

   ELGamal

 

OpenSSL:SSL的开源实现

  libcrypto: 加密库

  libssl:  TLS/SSL的实现

    基于会话的,实现身份认证,数据机密性和会话完整性的TLS/SSL库

  openssl:多用途命令行工具

    实现私有证书颁发机构

子命令

测试opensll对加密算法支持的速度 speed: openssl speed des

加密和解密 enc  (man enc)

   加密(encrypted)

openssl enc -des3 -salt -a -in inittab -out inittab.des3     #inittab是被加密的文件
  解密(decrypted )

openssl enc -des3 -d -salt -a -in inittab.des3 -out inittab

 

提取信息的特征码(SHA、MD5)

openssl dgst -md5 inittab
openssl dgst -sha1 inittab

加密密码 (通过whatis passwd,可以得知应该man sslpasswd)

第一个$表示加密算法,第二个$表示salt

 

生成随机数

openssl rand -base64  15

openssl实现私有CA

证书其实包含三部分,用户的信息,用户的公钥,还有CA中心对该证书里面的信息的签名,要验证一份证书的真伪(即验证CA中心对该证书信息的签名是否有效),需要用CA 中心的公钥验证,而CA中心的公钥存在于对这份证书进行签名的证书内,故需要下载该证书,但使用该证书验证又需先验证该证书本身的真伪,故又要用签发该证书的证书来验证,这样一来就构成一条证书链的关系,这条证书链在哪里终结呢?答案就是根证书,根证书是一份特殊的证书,它的签发者是它本身,下载根证书就表明您对该根证书以下所签发的证书都表示信任,而技术上则是建立起一个验证证书信息的链条,证书的验证追溯至根证书即为结束。所以说用户在使用自己的数字证书之前必须先下载根证书。

1.生成一对密钥

1.1生成私钥(公钥是从私钥中提取而来)

openssl genrsa -out server.key 2048    #或者:openssl genrsa 2048 > server.key

1.2 赋权

chmod 600 server.key

1.3 提取公钥

openssl rsa -in server.key -pubout

2.生成自签证书

openssl req -new -x509 -key server.key -out server.crt -days 365

 查看证书信息

openssl x509 -text -in server.crt

 

参考:https://segmentfault.com/a/1190000002554673

你可能感兴趣的:(OpenSSL学习笔记)