数据加密解密及openssl建立CA

 

 数据的安全性：

  保密性：C

    数据保密性

    隐私性

 完整性：I

    数据完整性

    系统完整性

 可用性A

    可被授权实体访问并按需求是有的特性   

 NTST (national institute of standards and technology）美国国家标准与技术研究院所制定的网络信息安     全性和保密性。简称CIA。 当然CIA保证了网络信息安全和保密，但是另外两条标准也是不可忽视的。

  真实性     确保数据发送发是真正的发送方

  可追溯性   受到攻击，能追溯攻击者原位置

OSI组织定义的计算机安全通信框架：x 800

  安全攻击

      被动攻击；窃听

      主动攻击：伪装“冒名顶替”；重播 ；消息修改；拒绝服务

  安全机制：

      加密、数字签名、访问控制、数据完整性、认证交换、流量填充、路由控制、公证

  安全服务：

     认证

     访问控制

     数据保密性：

         连接保密性

         无连接保密性

         选择域保密性

         流量保密性

数据完整性

      数据传输没有被非授权的修改，插入，删除，重播

不可否认性：身份认证

加密类型：

   一、对称加密：加密解密使用同一密钥。 

     对称加密算法

        DES：56位

3DES：

AES：高级加密标准

      

       特性：

 1、加密，解密使用同一口令；

 2、将明文分隔成固定大小的块，逐个进行加密

缺陷：

 1、密钥过多；

 2、密钥传输；

          3、分发困难

    密钥交换、身份验证、数据完整性无法得到保证。

二、公钥加密：加密和解密使用一对密钥

    public key公钥；secret key私钥

    公钥一般用于：

 实现身份认证

 密钥交换

    

   常用加密算法：RSA，DSA，EIGamal

三、单向加密：

      定长输出

      不可逆：（解密）

      雪崩效应（蝴蝶效应）

    常用加密算法：MD5、sha1

     

PKI：公钥基础设施

签证机构：CA

注册机构：RA

证书吊销列表：CRL

证书存取库：

   申请CA流程：存取库-->RA-->CA-->CRL

   CA：证书包含内容 

证书版本号

证书序列号：     记录当前CA发行了多少证书

证书算法参数；

发行者的名称：

证书有效期限

证书拥有者的主体名称   （‘用户’名字 或者‘主机名’）

公钥信息：   （自己填写 名字等相关信息）

发行者的id：  CA的编号

主体的编号--id

CA的签名：   来源合法性

加密解密简图：

 

 

 

当接收者接到报文，使用自己的私钥进行解密，其次使用对称密钥解密，获得加密的报文和特征码；再次使用发送者的公钥进行解密，提取原报文。

 

Openssl创建私有CA

 

一、建立CA服务器：

   1、生成密钥 ：

     #cd /etc/pki/CA

# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

 

2、自签证书：使用

# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 300

 

3、初始化工作环境

       # touch /etc/pki/CA/{index.txt,serial}

       # echo 01 > /etc/pki/CA/serial   CA编号从01开始 以此类推

      

二、节点申请证书：

     节点生成请求

      1、生成密钥对儿

       # (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

        

  2、生成证书签署请求

       # openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr

       

       

 

   3、把签署请求文件发送给CA服务

  # scp /etc/pki/CA/httpd.crt 172.16.244.22:/etc/httpd/ssl

 

收到节点请求CA验证证书中的信心是否符合，

 如果符合CA将签署证书使用：# openssl ca -in /path/to/somefile.csr -out /path/to/somefile.crt -days  200。

 在将签署证书发送给申请者：

# Scp  /etc/pki/CA/httpd.crt  172.16.249.100:/etc/https/ssl/