linux 对称加密命令,linux安全和加密篇（三）—openssl工具和CA证书

OpenSSL：开源项目

三个组件：

openssl: 多用途的命令行工具，包openssl

libcrypto: 加密算法库，包openssl-libs[root@centos7-4 data]# openssl-libslibssl：加密模块应用库，实现了ssl及tls，包nss[root@centos7-4 data]# rpm -ql nss

openssl命令：两种运行模式：交互模式和批处理模式

openssl version：程序版本号

标准命令、消息摘要命令、加密命令

标准命令：

enc, ca, req, ...[root@centos7-4 data]# rpm -ql openssl

/etc/pki/CA

/etc/pki/CA/certs

/etc/pki/CA/crl

/etc/pki/CA/newcerts

/etc/pki/CA/private

usr/bin/openssl

openssl 命令支持对称加密，非对称加密解密等

用法：1、交互式[root@centos7-->08:52:30~]#openssl

OpenSSL> ?

openssl:Error: '?' is an invalid command.

2、非交互式

openssl + 命令 命令.....

对称加密：工具： openssl enc, gpg

算法： 3des, aes, blowfish, twofish

enc命令：帮助： man enc

加密：

openssl enc -e -des3 -a -salt -in testfile

-out testfile.cipher

解密：openssl enc -d -des3 -a -salt –in testfile.cipher

-out testfile

openssl ?

加密例子：

第一步：[root@centos7-->14:47:26/app]#openssl enc -e -des3 -a -salt -in fstab -out fstab.cip

enter des-ede3-cbc encryption password:

Verifying - enter des-ede3-cbc encryption password:

第二步：[root@centos7-4 data]# base64 -d test.cip

######使用base64 -d fstab.cip 编码转换成二进制####

第三步：

解密[root@centos7-4 data]# openssl enc -d -des3 -a -salt -in test.cip -out test2

enter des-ede3-cbc decryption password:

单向加密：工具： md5sum, sha1sum, sha224sum,sha256sum…

openssl dgst

dgst命令：帮助： man dgst

openssl dgst -md5 [-hex默认] /PATH/SOMEFILE

openssl dgst -md5 testfile

md5sum /PATH/TO/SOMEFILE

例子：

md5sum test[root@centos7-4 data]# md5sum test

cf4676656ace92c1d8e1edf2f2ecbf6a test[root@centos7-4 data]# openssl dgst -md5 test

MD5(test)= cf4676656ace92c1d8e1edf2f2ecbf6a

因为算法一样，所以得出的哈希值也相同

生成用户密码：passwd命令:

帮助： man sslpasswd

openssl passwd -1 -salt SALT(最多8位)

openssl passwd -1 –salt centos

生成随机数：帮助： man sslrand

openssl rand -base64|-hex NUM

NUM: 表示字节数； -hex时，每个字符为十六进制，相当于4位二进制，出现的字符数为NUM*2

man sslpasswd

例子：

openssl passwd

默认使用： -crypt加密

例子1、[root@centos7-4 data]# openssl passwd

Password:

Verifying - Password:

NNiotT0rFp20E

例子2、[root@centos7-4 data]# openssl passwd -1

Password:

Verifying - Password:

$1$NfgvMVBF$g/fovTmTnv5B2OUKJvFr21

例子3、[root@centos7-4 data]# openssl passwd -1 -salt centos

Password:

$1$centos$Uq6E6Wp5SDZYbs6MCmamP0

生成随机数

例子：openssl rand -base64 12[root@centos7-4 data]# openssl rand -base64 12

WdOrd0ZhcRlLAnJ+

例子：echo "ab" |base64 2^6=64[root@centos7-4 data]# echo -n "ab" |base64

YWI=

64个字符表示系统中的二进制数

[root@centos7-4 data]# echo -n "abc" |base64 > abc.base64

[root@centos7-4 data]# cat abc.base64

YWJj

base64编码本身不加密，可以使用base64  -d  反向解析成源码[root@centos7-4 data]# base64 -d abc.base64

abc

随机口令多少位：openssl rand -base64 24|tr -d '/+' |head -c12

生成随机口令 ：cat /dev/urandom |tr -dc 'A-Za-z0-9' |head -c 12

[root@centos7-4 data]# openssl rand -hex 10

21840dfde41df91375a6

openssl命令 对称加密

公钥加密：算法： RSA, ELGamal

工具： gpg, openssl rsautl( man rsautl)

数字签名：算法： RSA, DSA, ELGamal

密钥交换：算法： dh

DSA: Digital Signature Algorithm

DSS： Digital Signature Standard

RSA：

生成密钥对儿： man genrsa

生成私钥openssl genrsa -out /PATH/TO/PRIVATEKEY.FILE NUM_BITS

(umask 077; openssl genrsa –out test.key –des 2048)

openssl rsa -in test.key –out test2.key 将加密key解密

从私钥中提取出公钥openssl rsa -in PRIVATEKEYFILE –pubout –out PUBLICKEYFILE

openssl rsa –in test.key –pubout –out test.key.pub

随机数生成器：伪随机数字键盘和鼠标，块设备中断

/dev/random：仅从熵池返回随机数；随机数用尽，阻塞

/dev/urandom：从熵池返回随机数；随机数用尽，会利用软件生成伪随机[root@centos7-4 data]# cat /dev/random |tr -dc "A-Za-z0-9" |head -c 12

Wwy3w7QwI9hk

[root@centos7-4 data]# cat /dev/urandom |tr -dc "A-Za-z0-9" |head -c 12

AisDjYYIN3z7

例子：生成私钥

1、不加密的私钥[root@centos7-4 data]# openssl genrsa -out test.key 1024

Generating RSA private key, 1024 bit long modulus

..++++++

........................++++++

e is 65537 (0x10001)

2、使用dns3加密私钥[root@centos7-4 data]# (umask 066;openssl genrsa -out test2.key -des3 2048)

Generating RSA private key, 2048 bit long modulus

.......................................+++

..............................................................................................................+++

e is 65537 (0x10001)

Enter pass phrase for test2.key:

Verifying - Enter pass phrase for test2.key:

解密私钥[root@centos7-4 data]# openssl rsa -in test2.key -out test22.key

Enter pass phrase for test2.key:

writing RSA key

[root@centos7-4 data]# ls

test2.key test22.key ###解密后出来的test22私钥文件[root@centos7-4 data]# openssl rsa -in test2.key -pubout -out test2.pub

Enter pass phrase for test2.key:

writing RSA key

[root@centos7-4 data]# ls

test2.key test2.pub ###从私钥中提取出的公钥