加密，解密，以及openssl建立私有ca

  解密算法和协议：

1．对称加密：【AES】DES,AES,BlowFish，TwoFish，IDEA,RC6，CAST5

（1）常见算法：

DES :Data Encryption Standard ,56bits,IBM研究出来的，

3DES :

AES :Advanced Encrpytion Standard,(128bits,192,256,384,512bits),超越现有计算能力

BlowFish :

TwoFish :

IDEA :

RC6 :

CAST5 :

保密性：数据保密性；隐私性；

2.完整性：数据完整性；系统完整性

3.可用性：数据与服务随时可用

（2）特性：

1. 加密、解密使用同一密钥

2. 加密原理：将明文分割成固定大小的块，并逐个进行加密。

3. 安全性依赖于密钥而非算法；因为算法可以公开

（3）缺陷：

1. 密钥过多，尤其是通信对象过多时，

2. 密钥分发，过程中的潜在风险

（4）加密工具：openssl enc,gpg

1.安全攻击

被动攻击：监听

主动攻击：报文伪装、重放、消息篡改、拒绝服务（将有限资源耗尽，使得正常资源无法访问DDOS）

2.安全机制

加密/解密，数字签名，访问控制，数据完整性保证，认证交换，数据填充，路由控制，人为公证

3.安全服务

Enc实现：

# openssl enc -e -CIPHERNAME -a -salt -in /PATH/FROM/SOMEFILE -out /PATH/TO/SOMEFILE

# openssl enc -d -CIPHERNAME -a -salt -in /PATH/FROM/SOMEIPHERFILE -out /PATH/TO/SOMEFILE

2．公钥加密（非对称加密）：【RSA】，DSA，Algorithm，ELGamal

  常见算法：

1.RSA ：即可做身份认证，也可做密钥交换

2.DSA ：身份认证――――数字签名，Digital Signature AlgorithmDigital Signature Standard

CA之间的交叉信任：

双方CA的互信，均从根证书机构拿到证书。

CA给每个证书的信息提取特征码，并用自己的私钥加密，附加到证书后面。用户验证时，用CA的公钥来提取特征码，并验证数据的完整性。

3.数字证书功能：

让通信的双方，都能够安全可靠的获得自己的身份认证标识，并且能够被通信的对方所认可。

使用OpenSSL建立私有CA：

（1）OpenSSL组成：

1）libcrypto：加密、解密库文件。各种加密算法。

2）libssl：ssl协议实现库

3）openssl：多用途命令行工具，每种功能都使用专门的子命令来实现。

子命令分类：

1.标准命令；制作证书，建立私有CA等都可以实现。

2.消息摘要命令：单向加密算法；

3.加密解密相关命令；

（2）配置文件： /etc/pki/tls/openssl.conf

节点申请证书：

在证书申请的主机上进行如下步骤：

a.生成私钥

b.生成证书签署请求

Tips：a. 其中的subject信息部分，要与CA的保持一致；正确与否无所谓

b. Common Name要使用此主机在通信正式使用的名字。

2. CA签发证书：

a.验证请求者信息；

b.签署证书：

# openssl ca -in /PATH/FROM/CSR_FILE -out /PATH/TO/CRT_FILE -days N

  吊销证书：

1.获取吊销证书的序列号：

# openssl x509 -in /PATH/FROM/CRT_FILE -noout -serial -subject

2.实现证书吊销

a.吊销证书

# openssl ca -revoke /PATH/FROM/CRT_FILE

b.生成吊销证书的编号

# echo 01 > /etc/pki/CA/crlnumber

c.更新证书吊销列表

# openssl crl -gencrl -out THISCA.crl