linux OpenSSL 及 CA相关

常见加密算法:

对称加密:

加密和解密使用的是同一个密钥。

DES:Data Encroption Standard 56bit密钥长度。

3DES:三层DES


AES:Advanced 128bit密钥长度

AES192,AES256,AES512

BlowFish


单向加密:

1.提取数据特征码,输入一样,输出必然一样。

2.雪崩效应:输入的微小改变,将会引起结果的巨大改变。

3.定长输出:无论原始数据多大,结果大小都是相同的。

4.不可逆:无法根据特征码还原原始数据。

md4

md5

sha1

sha192,sha256,sha384,sha512

CRC32 校验码计算机制


非对称加密(公钥加密)

使用一对密钥:

公钥:public key 是从私钥提取的。

私钥:private key 只有自己有。


发送方用自己的私钥加密,可以实现身份验证。

发送方用对方的公钥加密,可以保证数据机密性。


公钥加密算法很少用来加密数据,速度慢。通常用来进行身份验证。


RSA

加密

签名

DSA

签名

ELGamal

商业算法


PKI Public Key Infrastructure 

公钥基础设施。提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。



CA:Certificate Authority

证书管理机构,CA是PKI系统中通信双方都信任的实体。

常见自信任证书格式:

x509 (TLS/SSL)

公钥及有效期限

证书的合法拥有者

证书该如何被使用

CA的信息

CA签名的校验码



pkcs12(OpenGPG)



SSL和TLS 安全协议

是为网络通信提供安全及数据完整性的安全协议。工作在传输层。

SSL;Secure Sockets Layer 安全套接层。

TLS:Transport Layer Security 传输层安全。SSL的后继者。


常见的加密工具: 

对称加密

openssl

ssl的开源实现

libcrypto 加密库,提供了各种加密函数

libssl TLS/SSL的实现

基于会话的,实现了身份认证、数据机密性和会话完整性。

gpg



#openssl COMMAND 多用途命令行工具,实现私有证书颁发工具。有很多子命令。

COMMNAD

version 查看openssl版本号


speed [CHIPHERNAME]

测试本机对各种加密算法的速度,指定CHIPHERNAME则计算某个算法的速度。


enc [OPTION] CHIPHERNAME 对称密钥加解密工具

[OPTION]

-in FILENAME 指定要加密的文件

-out FILENAME 指定加密后生成的文件

-a 对文件基于base64编码

-e 加密

-d 解密

-k PASSWORD 指定密钥

-salt SALT 使用salt以提高安全性

例如:

#cp /etc/inittab initt

#opanssl enc -des3 -salt -a -in initt -out inittdes3

#opanssl enc -des3 -d -salt -a -in inittdes3 -out initt


dgst CHIPHERNAME FILE 计算校验码


passwd [OPTION] [PASSWORD] 计算密码的哈希值。

[OPTION]

-1 指定使用md5加密

-salt SALT 使用salt

例如:

#openssl passwd -1 -salt JoKYOIkYT


rsa [OPTION] 密钥处理工具

[OPTION]

-in FILE 从文件读入

-pubout 输出公钥


例如:

#opensll rsa -in server.key -pubout >server.pub.key


rsautl [OPTION] rsa加密解密工具


rand [OPTION] NUM 伪随机数生成工具,生成长度为NUM的随机数。

[OPTION]

-base64 使用base64方式


例如:

#openssl rand -base64 65 生成长度为65的随机数。



genrsa [OPTION] [NUMBITS] 生成长度为NUMBITS的rsa私钥,不指定默认为512位。

[OPTION]

-out FILE 指定私钥保存文件


例如:

#openssl genrsa  生成长度为512位的rsa私钥

#openssl genrsa 2048 > server.key 生成长度为2048的rsa私钥,并保存到server.key中。

#openssl genras 2048 -out server.key

#(umask 077;openssl genrsa -out server1024.key 1024) 在括号中执行的命令会在子shell下执行。所以umask不会对父shell产生影响。


req [OPTION] 生成证书的工具

配置文件为/etc/pki/tls/openssl.cnf


[OPTION]

-new 创建一个证书

-x509 证书类型为x509

-key FILE 指定私钥文件

-out FILE 保存证书到文件

-day DAY 证书有效期限天数为DAY天


例如:

#openssl req -new -x509 -key server.key -out server.crt -day 365


x509 [OPTION] x509证书格式相关

[OPTION]

-text 以文本格式显示。

-in FILE 从指定证书文件中读取。


例如:

#opensll x590 -text -in server.crt





openssl实现私有CA实例:

1.生成一对密钥

#openssl genrsa -out server.key

#(umask 077;openssl rsa -in server.key -putout server.pub.key) 括号内的命令将会在子shell中执行,不会影响到父shell。


2.生成自签署证书

#openssl req -new -x509 -key server.key -out server.crt -day 365

Country Name (2 letter code) [AU]:国家名称

State or Province Name (full name) [Some-State]:省名称

Locality Name (eg, city) []:市名称

Organization Name (eg, company) [Internet Widgits Pty Ltd]:公司名

Organizational Unit Name (eg, section) []:部门名称

Common Name (eg, YOUR name or your servier's hostname) []: ca.test.com  至关重要!如果证书是用在服务器上的,一定要填服务器在DNS上的解析名称。

Email Address []:邮箱地址,一般填管理员的。


配置CA及证书签署实例;

#vim /etc/pki/tls/openssl

#(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2084)

#openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem

#mkdir /etc/pki/CA/{certs,newcerts,crl}

#touch /etc/pki/CA/index.txt

#touch /etc/pki/CA/serial

#echo 01 > serial


假设已经搭建好http服务器

#mkdir -p /etc/httpd/ssl

#(umask077;openssl genrsa -out /etc/httpd/ssl/httpd.key 1024)

#openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr

#openssl ca -in /etc/httpd/ssl/httpd.csr -out /etc/httpd/ssl/httpd.crt



测试用自签证书生成:

#ls /etc/pki/CA/certs

Makefile ca-bulidle.cert make-dummy-cert

#cd /etc/pki/CA/certs

#make xxx.crt|xxx.pem

#ls /etc/pki/CA/certs

Makefile ca-bulidle.cert make-dummy-cert xxx.crt

注意,这里的生成证书类型为自签证书,其中包含私钥,只能用于实验,绝对不能用在生产环境!

#cat Makefile  通过查看此文件可以看make的详细使用说明。


你可能感兴趣的:(liunx,ssl,OpenSSL,ca)