Paste_Image.png

5.OpenSSL:實(shí)現(xiàn)加密的開(kāi)源套件

(1)三個(gè)組件：

openssl: 多用途的命令行工具，包openssl
libcrypto: 加密算法庫(kù)，包openssl-libs
libssl：加密模塊應(yīng)用庫(kù)，實(shí)現(xiàn)了ssl及tls，包nss

(2)openssl命令：

兩種運(yùn)行模式：交互模式和批處理模式
openssl version：程序版本號(hào)
標(biāo)準(zhǔn)命令、消息摘要命令、加密命令
標(biāo)準(zhǔn)命令：enc, ca, req, ...

Paste_Image.png
(3)公鑰加密：
算法：RSA, ELGamal
工具：gpg, openssl rsautl（man rsautl）
(4)數(shù)字簽名：
算法：RSA, DSA, ELGamal
(5)密鑰交換：
算法：dh,DSA，DSS，RSA
(6) 對(duì)稱加密：
工具：openssl enc, gpg
算法：3DES, AES, BLOWFISH,TWOFISH

6.enc命令(對(duì)稱加密)

(1)查看幫助：

man enc

(2)加密：

openssl enc -e -des3 -a -salt -in testfile -out testfile.cipher

Paste_Image.png

-e加密 -des3就是對(duì)稱加密的一種 -a -salt加隨機(jī)數(shù) -in 要加密的文件 -out 加密后文件的名字

(3)解密：

openssl enc -d -des3 -a -salt –in testfile.cipher -out testfile

Paste_Image.png

-d解密 -a -salt加隨機(jī)數(shù) -in要解密的文件 -out指定解密后文件的名稱 

7.單向加密：即哈希加密

工具：md5sum, sha1sum, sha224sum,sha256sum… openssl dgst

• dgst命令：

幫助：man dgst
openssl dgst -md5 [-hex默認(rèn)] /PATH/SOMEFILE
openssl dgst -md5 testfile
md5sum /PATH/TO/SOMEFILE

Paste_Image.png
MAC: Message Authentication Code，單向加密的一種延 伸應(yīng)用，用于實(shí)現(xiàn)網(wǎng)絡(luò)通信中保證所傳輸數(shù)據(jù)的完整性機(jī)制 CBC-MAC
HMAC：使用md5或sha1算法

8.生成用戶密碼：

(1)passwd命令:

幫助：man sslpasswd
openssl passwd -1 -salt SALT(最多8位)
openssl passwd -1 –salt centos

(2) 生成隨機(jī)數(shù)：

幫助：man sslrand
openssl rand -base64|-hex NUM
NUM: 表示字節(jié)數(shù)；-hex時(shí)，每個(gè)字符為十六進(jìn)制，相 當(dāng)于4位二進(jìn)制，出現(xiàn)的字符數(shù)為NUM*2
-base64-hex：編碼格式

Paste_Image.png

9. 生成密鑰對(duì)兒：genrsa

man genrsa
(1)生成私鑰

#openssl genrsa -out /PATH/TO/PRIVATEKEY.FILE NUM_BITS
#(umask 077; openssl genrsa –out test.key –des 2048)

Paste_Image.png

為了保護(hù)秘鑰文件安全，一般要對(duì)秘鑰文件加權(quán)限，第一個(gè)可以用chmod加上去，第二個(gè)就把文件權(quán)限直接改為了600 -out 輸出秘鑰文件名稱 -des 對(duì)私鑰加口令，保護(hù)私鑰安全 

(2)從私鑰中提取出公鑰

openssl rsa -in PRIVATEKEYFILE –pubout –out PUBLICKEYFILE
Openssl rsa –in test.key –pubout –out test.key.pub

Paste_Image.png

10.隨機(jī)數(shù)生成器：偽隨機(jī)數(shù)字

鍵盤和鼠標(biāo)
塊設(shè)備中斷
/dev/random：僅從熵池返回隨機(jī)數(shù)；隨機(jī)數(shù)用盡，阻塞
/dev/urandom：從熵池返回隨機(jī)數(shù)；隨機(jī)數(shù)用盡，會(huì)利
用軟件生成偽隨機(jī)數(shù),非阻塞

11.創(chuàng)建CA和申請(qǐng)證書(shū)

(1)證書(shū)申請(qǐng)及簽署步驟:

1、生成申請(qǐng)請(qǐng)求
2、RA核驗(yàn)
3、CA簽署
4、獲取證書(shū)

(2)創(chuàng)建私有CA：OpenCA ,openssl

openssl的配置文件：/etc/pki/tls/openssl.cnf（非常重要哦！）

Paste_Image.png

Paste_Image.png

Paste_Image.png

三種策略：匹配、支持和可選
匹配指要求申請(qǐng)?zhí)顚?xiě)的信息跟CA設(shè)置信息必須一致
支持指必須填寫(xiě)這項(xiàng)申請(qǐng)信息
可選指可有可無(wú)

1、創(chuàng)建所需要的文件
# touch /etc/pki/CA/index.txt 生成證書(shū)索引數(shù)據(jù)庫(kù)文件
# echo 01 > /etc/pki/CA/serial 指定第一個(gè)頒發(fā)證書(shū)的序列號(hào)
2、CA自簽證書(shū)
生成私鑰
# cd /etc/pki/CA/
# (umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem -des 2048)
/etc/pki/CA/private/cakey.pem指定路徑
生成自簽名證書(shū)
# openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
-new: 生成新證書(shū)簽署請(qǐng)求
-x509: 專用于CA生成自簽證書(shū)，如果不加，只能生成證書(shū)
-key: 生成請(qǐng)求時(shí)用到的私鑰文件
-days n：證書(shū)的有效期限
-out /PATH/TO/SOMECERTFILE: 證書(shū)的保存路徑
3、頒發(fā)證書(shū)
? 在需要使用證書(shū)的主機(jī)生成證書(shū)請(qǐng)求
給web服務(wù)器生成私鑰
# (umask 066; openssl genrsa -out /etc/pki/tls/private/test.key -des 2048)
生成證書(shū)申請(qǐng)文件
# openssl req -new -key /etc/pki/tls/private/test.key -days 365 -out etc/pki/tls/test.csr
? 將證書(shū)請(qǐng)求文件傳輸給CA
? *.csr請(qǐng)求者的證書(shū)
? CA簽署證書(shū)，并將證書(shū)頒發(fā)給請(qǐng)求者
openssl ca -in /tmp/test.csr –out /etc/pki/CA/certs/test.crt -days 365
注意：默認(rèn)國(guó)家，省，公司名稱三項(xiàng)必須和CA一致
? 查看證書(shū)中的信息：
# openssl x509 -in /PATH/FROM/CERT_FILE -noout text(以文本文件查看)|issuer|subject|serial|dates
-in 證書(shū)路徑
# openssl ca -status SERIAL 查看指定編號(hào)的證書(shū)狀態(tài)
?再用scp傳輸?shù)秸?qǐng)求的子CA主機(jī)上cert

12.吊銷證書(shū)

(1)在客戶端獲取要吊銷的證書(shū)的serial

openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

(2) 在CA上，根據(jù)客戶提交的serial與subject信息，對(duì)比檢驗(yàn)是否與index.txt文件中的信息一致，吊銷證書(shū)：

openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

(3) 指定第一個(gè)吊銷證書(shū)的編號(hào)

echo 01 > /etc/pki/CA/crlnumber
注意：第一次更新證書(shū)吊銷列表前，才需要執(zhí)行

(4)更新證書(shū)吊銷列表

openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem
查看crl文件：
openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text

本頁(yè)內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過(guò)網(wǎng)絡(luò)收集編輯所得，所有資料僅供用戶學(xué)習(xí)參考，本站不擁有所有權(quán)，如您認(rèn)為本網(wǎng)頁(yè)中由涉嫌抄襲的內(nèi)容，請(qǐng)及時(shí)與我們聯(lián)系，并提供相關(guān)證據(jù)，工作人員會(huì)在5工作日內(nèi)聯(lián)系您，一經(jīng)查實(shí)，本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://www.junxiaosheng.cn/20541.html