码迷,mamicode.com
首页 > 其他好文 > 详细

openssl工具详解及自建CA方法

时间:2015-07-02 01:14:49      阅读:194      评论:0      收藏:0      [点我收藏+]

标签:linux   密码   加密   证书   信息   



前言:

openssl是一款很强大的多用途的开源加密解密的命令行工具,比如创建私钥,创建证书签名请求,测试各种加密算法耗时等等。

在我们进入openssl工具讲解之前,我们有必要先了解先Linux下的加密解密方式,以及常用的加密算法与协议。

然后最后我们详细讲解使用openssl自建CA的方法



目录:

1. Linux加密解密过程:


如图:


2. 常用密码算法和协议


常用的加密算法有三种:

1. 对称加密算法:

同一个密钥可以同时用作信息的加密和解密,将明文分割成固定大小的块,逐个进行解密,这种加密方法称为对称加密;

对称加密的缺陷就是需要维护的密钥太多。

    常用的对称加密算法:DES (56)、3DES、AES (128,192,256,384,512)、Blowfish、Twofish、IDEA、RC6、CAST5等 ; 


2. 公钥加密

也叫非对称加密,是由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。

常用的公钥加密算法:RSA, DSA, EIGamal等;


3. 单向加密:

是不可解密的加密方法,是非可逆的;并且加密的结果是定长的

常用的公钥加密算法:MD5、SHA1、SHA256、SHA384、SHA512等;

实际上单向加密,一般只是用来提取文件特征码,验证数据或证书的数据完整性,也会被称为数据指纹


4.认证协议:

IKE协议(Internet Key Exchange):常用来确保虚拟专用网络VPN与远端网络或者宿主机进行交流时的安全;

        SSL( 安全套接字层): 网络通信提供安全及数据完整性的一种安全协议。

        TLS(传输层安全): 是仿照SSL制定,用于在两个通信应用程序之间提供保密性和数据完整性。




3. openssl命令行工具简单应用


OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。

查看本机openssl版本:

#openssl version


3.1 对文件进行对称加密:

工具: openssl enc

算法:DES, 3DES, AES, Blowfish, Twofish, RC6, idea, CAST5


# openssl enc -des3 -a -salt -in /path/from/somefile -out /path/to/somecipherfile

# openssl enc -d -des3 -a -salt -in /path/from/somecipherfile -out /path/to/somefile


3.2 使用openssl做单向加密:

工具: openssl dgst

# openssl dgst [-md5|-sha1] [-out /path/to/filename] /path/from/somefile


MAC: 消息摘要码,单向加密的一种延伸类的应用

应用:用于实现在网络通信中保证所传输的数据的完整性


机制:

CBC-MAC

HMAC:使用md5或sha1算法


3.3 生成用户密码:


工具: openssl passwd

获取帮助:


#whatis passwd

passwd               (1)  - update user‘s authentication tokens

passwd               (5)  - password file

passwd [sslpasswd]   (1ssl)  - compute password hashes

选择最后那个,然后:

#man passwd sslpasswd


#openssl passwd -1 -salt jingming

Password:  输入密码后,回车

$1$jingming$jmHXxFlxswHGuht5Qbkgk/  #这里显示的第一段$$内容为salt,后面为密码


3.4 生成随机数:


生成随机数,主要是用于生成密码时候作为动态的salt来用


#openssl rand

#openssl rand -hex|-base64 num

#openssl rand -base64 4


例如: 生成一个随机salt的用户密码:

#oepnssl passwd -1 -salt `openssl rand -hex 4`


3.5 公钥加密(非对称加密)

公钥加密用的不多,因为公钥加密速度很慢。。。

算法: RSA, EIGamal

工具: gpg, openssl rsatul


3.6 数字签名


算法: RSA, EIGamal, DSA(只能用来签名,不能用来加密)


这两种表述都是用来做数字签名的

DSA: Digital Signature Algorithm

DSS: Digital Signature Standard



3.7 生成密钥(Private key):

#openssl genrsa -out /path/to/keyfile NUMBEROFBITS(位数:1024/2048/4096...)

#生成的是私钥,但是公钥是包含在private key内的。生成的私钥很重要,所以生成后,一定要更改权限为600或者400

但是我们可以通过下面的方式,来修改权限:


#(umask 077; openssl genrsa -out /path/to/keyfile NUMBEROFBITS)

用()表示在子shell中运行umask命令,及创建私钥, 这样umask只会对这两条命令有效,执行完,返回父shell,umask 077设置就无效了



提出公钥:

#openssl rsa -in /path/from/private_key_file -pubout




4. 利用openssl自建CA


4.1 建立CA服务器:

1、生成密钥

# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)


2、自签证书

# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655


req: 生成证书签署请求

-news: 新请求

-key /path/to/keyfile: 指定私钥文件

-out /path/to/somefile: 

-x509: 生成自签署证书

-days n: 有效天数


3、初始化工作环境

# touch /etc/pki/CA/{index.txt,serial}

# echo 01 > /etc/pki/CA/serial


4.2 节点申请证书:


(一) 节点生成请求

1、生成密钥对儿

# (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)


2、生成证书签署请求

# openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr


3、把签署请求文件发送给CA服务

# scp



(二) CA签署证书

1、验正证书中的信息;

2、签署证书

# openssl ca -in /path/to/somefile.csr -out /path/to/somefile.crt -days N


3、发送给请求者;


4.3 吊销证书


(一)节点

1、获取证书serial

# openssl x509 -in /path/to/certificate_file.crt -noout -serial -subject




(二) CA

2、根据节点提交的serial和subject信息来验正与index.txt文件中的信息是否一致;


3、吊销证书

# openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem


4、生成吊销证书的编号(如果是第一次吊销)

# echo 00 > /etc/pki/CA/crlnumber


5、更新证书吊销列表

# cd /etc/pki/CA/crl/

# openssl ca -gencrl -out thisca.crl


如果需要,查看crl文件的内容:

# openssl crl -in /path/to/crlfile.crl -noout -text


本文出自 “Richier” 博客,请务必保留此出处http://richier.blog.51cto.com/1447532/1669883

openssl工具详解及自建CA方法

标签:linux   密码   加密   证书   信息   

原文地址:http://richier.blog.51cto.com/1447532/1669883

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!