仓酷云

标题: 带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书 [打印本页]

作者: 飘灵儿    时间: 2015-1-14 20:38
标题: 带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
欢迎大家来到仓酷云论坛!媒介
openSSL是一款功效壮大的加密工具、我们傍边很多人已在利用openSSL、用于创立RSA私钥或证书署名哀求、不外、你可晓得可使用openSSL来测试盘算机速率?大概还能够用它来对文件或动静举行加密。

注释

openssl是一个开源步伐的套件、这个套件有三个局部构成、一是libcryto、这是一个具有通勤奋能的加密库、内里完成了浩瀚的加密库、二是libssl、这个是完成ssl机制的、他是用于完成TLS/SSL的功效、三是openssl、是个多功效下令行工具、他能够完成加密解密、乃至还能够当CA来用、可让你创立证书、撤消证书、这里我们用opensslenc对一个文件举行加密看看:
#opensslenc-des3-a-salt-in/etc/fstab-out/tmp/fstab.cipher加密
#cat/tmp/fstab.cipher
#opensslenc-d-des3-a-salt-in/tmp/fstab.cipher-out/path/to/fstab.cipher解密
带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


数字证书:
证书格局一般是x509的数字证书的格局、另有pkcs等其他的。
关于x509这类证书内容傍边都包括哪些呢:
1、公钥和也就是无效刻日。
2、持有者的团体正当身份信息、这个信息有多是一个公司、也多是团体、也能够是主机名。
3、证书的利用体例、好比用来举行主机之间的认证等。
4、CA(证书发表机构)的信息
5、CA的数字署名、CA的证是自签证书

公钥加密、也叫非对称加密
公钥加密最年夜的特征就是密钥成对的、公钥称为publickey(pkey)、私钥称为secretkey(skey)、一样平常而言、公钥用来加密、私钥用来解密、假如要完成电子署名那就是私钥来用加密、公钥用来解密、而公钥是能够给任何人的、私钥就得本人保留;公钥加密一样平常不会加来对数据加密、由于他的加密速率很慢、比对称加密慢3个数目级(一个数目级是10倍、3个就是1000倍)、以是公钥加密一般用于密钥互换(IKE)和身份认证的。
他的经常使用算法有:RSA和EIGamal、今朝RSA是对照普遍的加密算法、而DSA(DigitalSignatureAlgorithm)只能加来做署名、而没法加于加密的算法
他的工具一般用:gpg、opensslrsautl
带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


单向加密、也叫hash算法:(One-Way加密)
用不天生数据指纹的、也叫数据择要算法、输入是定长的、MD5是128位定长输入、SHA1定长输入160位、他的特征是不会呈现碰撞的、每位数据只需有一名纷歧样就会发生伟大的变更、我们称这类为雪崩效应、经常使用的算法MD5、SHA1、SHA512、经常使用工具有sha2sum、md5sum、cksum、openssldgst。
#sha1sumfstab
#openssldgst-sha1fstab
带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


信息择要码:
MAC(MessageAuthenticationCode):一般使用于完成在收集通讯中包管所传输的数据完全性、他的基础体例就是基于MAC将要通讯的数据利用单向加密的算法猎取定长输入、尔后将这定长输入宁静牢靠的投递到吸收方的一种机制、复杂来说我们客套端发送数据给办事器时、客户端管帐算这段数据的特性码、并而将这段特性码发送给办事器端、可是这类特性码不克不及复杂的如许传送已往、他要基于MAC、挪用单向加密盘算这段特性码、尔后将加密的了局发送给办事器端、包管特性码不会被人修正、这是单向加密的一种完成、一种延长使用;
他的经常使用算法有:CBC-MAC、HMAC
关于openssl来说、假如你是客户端、他能够帮我们天生密钥对、帮我们天生证书请求、假如是发证方、他能够帮发证方自签证书、还能够签订证书、还能够天生撤消列表、固然年夜局限内环球内利用openCA。
那接上去我们就用openssl完成证墨客成、签订、发表和撤消等功效:
带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


完成步调
起首本人得有一个证书、那就先自签一个证书、用openssl完成公有CA、CA的事情目次都是在/etc/pki/CA下、而CA的设置文件在/etc/pki/tls/openssl.cnf这个文件中。

天生CA私钥、这里要注重、公钥是按某种格局从私钥中提掏出来的、公钥和私钥是成对的、天生私钥也就有了公钥:
#(umask077;opensslgenrsa-outprivate/cakey.pem2048)
带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


在以后shell顶用()实行下令暗示括号中的下令要在子shell中实行,2048暗示密钥的长度、-out前面暗示天生密钥文件保留的路径,生也的文件权限是666、而这个文件不克不及被他人会见、地点666-077就失掉权限600:
检察公钥或提取公钥、这个并非需要步调:
#opensslrsa-inprivate/cakey.pem-pubout-text

带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


天生自签证书、用openssl中req这个下令、叫证书哀求:
#opensslreq-new-x509-keyprivate/cakey.pem-outcacert.pem-days3650
带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


在CA的目次下创立两个文件:
#touchindex.txtserial
带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


OK、CA的证书有了、那接上去就是给客户签订证书了;我这里换另外一台主机来做客户、向CA了起签订请求、假如要给办事器利用、那必定要跟你的办事器名坚持分歧、我们这里是以web办事器利用的、以是天生的私钥也要放在办事器的目次下、我这里以httpd为例:
天生密钥对、我们专门分建一个目次来寄存:
#mkdir/etc/httpd/ssl
#(umask077;opensslgenrsa-outhttpd.key1024)
带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


客户端天生证书签订哀求:
#opensslreq-new-keyhttpd.key-outhttpd.csr
带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


再把httpd.csr发给近程主机的CA签
#scphttpd.csr172.16.251.171:/tmp/
带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


再切换到近程主机的/tmp看一下有无一个叫httpd.csr的文件:
带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


因而我们的CA反省信息完后就能够签订了:
#opensslca-in/tmp/httpd.csr-out/tmp/httpd.crt-days3655
带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


再把签订好的证书发送归去给客户真个主机:
#scphttpd.crt172.16.251.127:/etc/httpd/ssl/

带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


发送给客户端主机了我们就能够往检察一下了:
#ls-l/etc/httpd/ssl
带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


因而我们的客户端主机就能够设置利用CA签订的证书了。


假如说证书过时了怎样撤消呢:(要在CA主机吊颈销)
#opensslca-revokehttpd.crt


这个证书制造好后我们就能够在windows下装置我们制造好的证书了:
第一步:
带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


第二步:
带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


第三步:
带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


第四步:
带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图

第五步:
带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


第六步:
带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图

带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图

带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
登录/注册后可看大图


停止
OK、以上就是我们制造证书和在windows下装置证书的历程、但在URL路径下必定是要输出https://www.tanxw.com就会看到证书的效果了、这里我这个www.tanxw.com的主机名是做实行用了、这里我就不做剖析测试了、有乐趣的伴侣能够存眷前期的文章、在此、假如年夜神发明有甚么不合错误的接待指出、感谢了!
本文出自“我拿芳华换酒钱”博客,请务必保存此出处http://tanxw.blog.51cto.com/4309543/1379417
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!
作者: 因胸联盟    时间: 2015-1-16 21:11
标题: 带来一篇CentOS6.5下openSSL加密解密及CA自签发表证书
随着Linux技术的更加成熟、完善,其应用领域和市场份额继续快速增大。目前,其主要应用领域是服务器系统和嵌入式系统。然而,它的足迹已遍布各个行业,几乎无处不在。
作者: 若相依    时间: 2015-1-25 20:56
用户下达的命令解释给系统去执行,并将系统传回的信息再次解释给用户,估shell也称为命令解释器,有关命令的学习可参考论坛相关文章,精通英文也是学习Linux的关键。
作者: 谁可相欹    时间: 2015-2-4 08:02
另外Linux上也有很多的应用软件,安装运行了这些软件后,你就可以在Linux上编辑文档、图?片,玩游戏、上网、播放多媒体文件等。
作者: 精灵巫婆    时间: 2015-2-9 19:41
Linux简单,占内存少,特别是对于程序开发人员来说很方便,如果说windows的成功在于其方便用户的窗口管理界面。
作者: 飘灵儿    时间: 2015-2-27 21:03
Windows有MS-DOS?方式,在该方式下通过输入DOS命令来操作电脑;Linux与Windows类似,也有命令方式,Linux?启动后如果不执行?X-WINDOWS,就会处于命令方式下,必须发命令才能操作电脑。?
作者: 小妖女    时间: 2015-3-9 15:17
随着Linux应用的扩展,出现了不少Linux社区。有一些非常优秀的社区往往是Linux高手的舞台,如果在探讨高级技巧的论坛张贴非常初级的问题经常会没有结果。
作者: 莫相离    时间: 2015-3-17 02:23
把这个问题放在其他Linux社区请求帮助也是一种选择。如果Linux得不到答案,请不要以为我们觉得无法帮助你。有时只是看到你问题的人不知道答案罢了。这时换一个社区是不错的选择。
作者: 简单生活    时间: 2015-3-23 18:26
通过一条缓慢的调制解调器线路,它也能操纵几千公里以外的远程系统。




欢迎光临 仓酷云 (http://ckuyun.com/) Powered by Discuz! X3.2