Linux入门之openssl--CA搭建

openssh

一、背景知识：

加密方式	缺点	加密算法	特性
对称加密 （加密算法+口令）	1、口令传输 2、口令太多	DES(56bits),3DES,  AES(128bits),Blowfish,Twofilsh IDEA,RC6,CAST5,Serpent	1、加密/解密使用同一个口令 2、将燕文分隔成固定大小的数据块，对块进行加密ECB CBC 3、数据私密性
公钥加密	1、速度慢	RSA EIGamal DSA	1、密钥加密（对方公钥） 2、数据加密（对方公钥） 3、身份认证（自己私钥）
单向加密		MD5 SHA1 SHA512 CRC-32 消息认证算法(MAC) CBC-MAC HMAC	1、完整性 2、雪崩效应 3、定长输出
非对称加密			1、密钥交换 2、身份认证
密钥交换		DH，公钥加密	2、

二、openssl一般概念

libcrypo:通用功能的加密库，能够被众多的加密解密软件调用

libssl:用于实现TLS/SSL的功能，

openssl:多功能命令工具（使用较多）

功能：生成密钥、创建数字证书、手动加密解密数据

enc	对称加密
dgst	单向加密
genrsa	生成私钥
rsautl,
req	签署请求
ca	签署证书
passwd	用户认证，生成密码
speed	测试加密算法速度
rand	生成伪随机数# openssl rand -hex #，eg：# openssl rand -base64 6 #  openssl passwd -1 -salt `openssl rand -hex 4`

常见后缀

.key格式	私有的密钥
.crt格式	证书文件，certificate的缩写
.csr格式	证书签名请求（证书请求文件），含有公钥信息，certificate signing request的缩写
.crl格式	证书吊销列表，Certificate Revocation List的缩写
.pem格式	用于导出，导入证书时候的证书的格式，有证书开头，结尾的格式

约定俗成的文件名称

cakey.pem	ca私钥
cacert.pem	ca自签证书
httpd.key	服务用的私钥
httpd.csr	证书请求文件
httpd.crt	签署的证书

1、对称加密

加密、解密（enc算法）

# openssl enc -des3 -a -salt -in /path/to/input_file -out /path/to/cipher_file  加密
# openssl enc -d -des3 -a -salt -in /path/to/cipher_file -out /path/to/clear_file 解密
eg：# openssl enc -des3 -a -salt -in /etc/fstab -out /tmp/fstab.cipher

2、单向加密

one-way

collison-free(雪崩效应)

md5:128bits  sha1 160bit  sha512

工具：sha1sum  md5sum   cksum   openssl dgst

# openssl dgst [-md5|-md4|-md2|-sha1|-sha|-mdc2|-ripemd160|-dss1] [-out filename] /path/to/somefile
eg:# openssl  dgst  -sha1  fstab

3、消息摘要码，单向加密的延伸应用消息摘要码，单向加密的延伸应用

实现消息认证

应用：用于实现在网络通信中保证所传输的数据完整性；

机制：CBC-MAC

 HMAC：使用md5和sha1算法；

4、用户认证

工具：passwd, openssl passwd

eg：# openssl passwd -1

5、公钥加密

公钥加密、私钥解密

密钥对儿：公钥：pkey

私钥：skey

算法：RSA, EIGamal（一般不用来加密数据，只用来进行密码交换和身份认证）

工具：gpg, openssl rsautl

6、数字签名

私钥加密、公钥解密

算法：RSA, EIGamal, DSA

DSA: Digital Signature Algorithm

  DSS: Digital Signature Standard

7、密钥交换：IKE

算法：DH, 公钥加密，Diffie-Hellman

8、数字证书

PKI模型，下面介绍基于此模型的CA搭建

三、用openssl实现私有CA

服务器端自建CA

切换工作目录至/etc/pki/CA

配置文件：/etc/pki/tls/openssl.cnf，内容自动维护，不需要手动修改

1、生成密钥对儿

# (umask 077; openssl  genrsa  -out  private/cakey.pem  2048)

openssl genrsa 生成私钥

在（）中执行命令，在子shell中运行

查看公钥# openssl rsa -in private/cakey.pem -pubout -text-noout

2、生成自签证书

# openssl req -new -x509 -key    private/cakey.pem -out cacert.pem -days 3655

详细信息可以修改配置文件，默认显示。证书即可生成 cacert.pem

3、创建需要的文件

# touch index.txt serial crlnumber
echo     01> serial

四、用openssl实现证书申请

客户端向服务器申请证书

1、在主机上生成密钥，保存至应用此证书的服务的配置文件目录下

# mkdir /etc/httpd/ssl
# cd /etc/httpd/ssl
# (umask 077; openssl genrsa -out    httpd.key 1024)

2、生成证书签署请求

# openssl req -new -key httpd.key -out    httpd.csr

3、将请求文件发往CA

[root@simon ssl]# scp httpd.csr    172.16.37.8:/tmp/

五、CA签署证书

1、签署

# openssl ca -in /path/to/somefile.csr    -out /path/to/somefile.crt -days DAYS
eg：# openssl ca -in    /tmp/httpd.csr -out /tmp/httpd.crt -days 3655

   回传证书

[root@localhost tmp]# scp httpd.crt    172.16.37.10:/etc/httpd/ssl/

2、吊销证书

   

# openssl ca -revoke    /path/to/somefile.crt

总结：

这里比较重要的是了解PKI模型，以及自建CA的过程，在后续的httpd服务中都会使用。下面给出一般的建立CA的步骤，可以直接拿来使用。

服务器端
最好切换工作目录至/etc/pki/CA
1、生成密钥对
# (umask 077; openssl  genrsa  -out  private/cakey.pem  2048)
2、生成自签证书
# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655
3、创建额外文件
# touch index.txt serial crlnumber
echo  01> serial
客户端
1、创建https为例，在httpd的配置文件目录下创建子目录
# mkdir /etc/httpd/ssl
# cd /etc/httpd/ssl
# (umask 077; openssl genrsa -out httpd.key 1024)
2、生成证书签署请求
# openssl req -new -key httpd.key -out httpd.csr
3、将请求文件发往CA
[root@simon ssl]# scp httpd.csr 172.16.37.8:/tmp
服务器端
1、签署证书
# openssl ca -in /path/to/somefile.csr -out /path/to/somefile.crt -days DAYS
eg：# openssl ca -in /tmp/httpd.csr -out /tmp/httpd.crt -days 3655
2、回传证书
[root@localhost tmp]# scp httpd.crt 172.16.37.10:/etc/httpd/ssl/
3、吊销证书
# openssl ca -revoke /path/to/somefile.crt

Version：1.1