18_02SSL协议及OpenSSL及创建私有CA

概念

PKI: Public Key Infrastructure
证书撤销列表CRL 这个很重要,保证安全性
证书格式 : x.509,pkcs12 ….
x.509:

公钥及其有效期限
证书的合法拥有者
证书该如何被使用
CA的信息(如颁发机构等)
CA签名的校验码

PKI:TLS/SSL/openGPG :使用的是x.509

TLS/SSL:

SSL: SSL: Secure Socket Layer 版本SSLv1(#) SSLv2 TLSv3
网络上进行安全传输,使用https:443(和http协议不同)
在链路层和应用层”间“加上SSL功能,如传输给http的数据经过SSL进行加密变成了https;

    SSL由于不完全开放,所以出现了TLS

TLS: TLS的v1版本类似SSL的v3版本
Transport Layer Security

在http进行访问时,实现三次握手
而在https进行访问时,先互相协商建立SSL/TLS协议(以此为例)
然后服务器发送证书给客户端,然后客户端进行验证证书的完整性,进行协商加密机制然后发送给服务器,然后进行通信;

加密方式种类

  1. 对称加密:

    DES(Data Encrption Standard):源于IBM公司DES算法把64位的明文输入块变为64位的密文输出块,它所使用的密钥也是64位。
    3DES:http://baike.baidu.com/view/350958.htm
    AES:高级加密标准,使用128位的秘钥,有256位,512,默认是128位,位数长意味运行速度慢;(目前用的多),这个标准用来替代原先的DES,已经被多方分析且广为全世界所使用。
    Blowfish:BlowFish是一个容易使用的文件和文件夹加密软件,只要用鼠标把文件或文件夹拖到加密的文档地方。

  2. 单项加密:

    MD4
    MD5 (128位)
    SHA1 (160位)
    SHA192 SHA256 SHA384
    CRC-32(循环冗余校验码)(这个提供校验功能,不实现加密,意味着不提供安全性)

  3. 公钥加密 (核心功能: 加密/签名)

    身份验证(数字签名)
    数据加密
    密钥交换

  4. 常用的加密算法:

    RSA:加密,签名http://baike.baidu.com/view/10613.htm?fromtitle=RSA&fromid=210678&type=syn
    DSA:签名
    ELGamal(商业的,只做了解)

  5. 实现加密的工具:

    openssl
    gpg

OpenSSL

OpenSSL:SSL的开源实现,三部分组成:
1. libcrypto:加密库
2. libssl :TLS/SSL的实现 基于会话的,实现了身份认证、数据机密性和会话的TLS/SSL库;
3. openssl :多用途命令行工具,并可以实现CA的功能

openssl help显示所有子命令(命令help虽然错误,但可显示所有子命令)

如speed,可以实现对当前主机各类加密速度的小测试,如:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
#openssl speed des	
#openssl version                  #####查看版本 
#openssl crl                      #####证书吊销列表 
openssl passwd (如果不知道passwd的意思,可以先whatis passwd, 然后man sslpasswd(括弧内的))

openssl passwd:
Passwd 命令计算在运行时输入密码的哈希值或
在列表中的每个密码的哈希值。密码列表是取自
命名的文件选项-在文件中,从 stdin 中的选项-stdin 或
从命令行中,或从其他终端。
http://www.51cto.com/art/200803/68014_3.htm
#openssl passwd -1 -salt easy(需要输入两次密码)
#echo "easyheart" | openssl passwd -1 -salt easy -stdin(一步完成)

对称加密举例:

  1. 例子一:

1
2
3
4
5
6
7
8
openssl enc -des3 -salt -a -in inittab -out inittab.des3
	-e加密,不指明默认加密,然后输入密码
	-a:输出的为ASCII码

解密:
openssl  enc -des3 -d -salt -a -in inittab.des32 -out inittab
	输入密码进行解密

  1. 例子二:
1
2
3
4
5
6
7
8
echo "Hello,Linux" | openssl enc -base64 -des
> U2FsdGVkX1+i4/SniSpAMfIq+G7DNY9kkbmhlQSJ188=

#echo "U2FsdGVkX1+i4/SniSpAMfIq+G7DNY9kkbmhlQSJ188=" | openssl enc -d -des -base64
# enter des-cbc decryption password:

> Hello Linux

关于对文件和目录进行加密可参考:
链接

单向加密举例:

如进行验证:

1
2
openssl dgst -md5 inittab

当然也可以用md5sum inittab

1
2
3
openssl dgst -sha1 inittab
sha1sum inittab

rsautl:实现rsa加密解密的工具
rand:伪随机数生成器 

1
2
#openssl rand -base64 100(100位)

-base64:使用base64进行编码,默认输出的是二进制

关于sort的功能:

1
2
3
4
5
6
7
8
9
10
sort是用来搅混密码的,防止被破解,如果想看sort往加密结果中添加什么,如:
#openssl passwd -1
输入两次密码
$1$C3wr.Shw$MZNm/R6V1l5rAPRfn2CQL.
C3wr.Shw这个就是sort添加的东西,当然你也可以手动指定往sort中添加什么:
#openssl passwd -1 -sort C3wr.Shw
输入密码
$1$C3wr.Shw$MZNm/R6V1l5rAPRfn2CQL.
得到的密码串和上面一样。

##openssl实现私有CA

openssl实现私有CA

  1. 先生成一对密钥
1
2
3
4
openssl genrsa -out /path/ number(位数)生成私钥
openssl genrsa  -out server1024.key 1024
openssl rsa -in /path/ -pubout 生成公钥
openssl rsa -in server1024.key -pubout
  1. 生成自签署证书
1
2
3
4
5
openssl req -new -x509 -key server1024.key -out server.crt -days 365
国家 省份 地址 公司 组织 hostname(自己的server's name,这个至关重要)
查看信息:
openssl x509 -text -in server.crt

  1. 使其生效,需要编辑/etc/pki/tls/openssl.cnf
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
[ca]
default_ca	=CA_default

[CA_default]

dir	      =/etc/pki/CA
certs	      =$dir/certs	证书路径
crl_dir       =$dir/crl		证书吊销列表路径
database      =$dir/index.txt 	发给别人的证书存放位置
new_certs_dir =$dir/newcerts
certificate   =$dir/cacert.pem
serial	      =$dir/serial	序列号
crlnumber     =$dir/crlnumber	证书吊销列表的工作号
crl	      =$dir/crl.pem	证书吊销文件
private_key   =$dir/private/cakey.pem CA自己的私钥
RANDFILE      =$dir/private/.rand	会自己创建

defaults_days =365	证书默认时间
defaults_crl_days =30	在证书吊销列表中存放世界
default_md    =sha1	单向加密使用算法
preserve      =no	

countryName_default	     =GB
state0rProvinceName_default  =Berkshire
localityName_default	     =Newbury
0.organizationName_default   =My Company Ltd
organizationlUnitName	     =Organizational Unit Name

生成自签证书的一个完整的步骤

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
		cd /etc/pki/CA
		(umask 077 ; openssl genrsa -out private/cakey.pem 2048)
		/etc/pki/tls/openssl.cnf 如上 
		openssl req -new -x509 (-x509是生成自签证书)-key private/cakey.pem -out cacert.pem -days 3655
		由于这个是发给自己的自签证书,所以在填写Commonname时可以:如:ca.域名.com
		mkdir certs newcerts crl
		touch index.txt
		touch serial
		echo 01 >serial
	
		########为请求者的主机颁发证书#######
		yum install mod_ssl
		mkdir /etc/httpd/ssl(CA颁发机构)
		cd ssl/
		(umask 077; openssl genrsa -out httpd.key 1024)生成私钥
		openssl req -new -key httpd.key -out httpd.csr 生成申请
		在Common name那填写你要发送主机的域名(请求者的域名)
		然后在你的(被请求者的)主机上许可这个CA请求
		(httpd.csr这个重要,要给请求的主机,如在本机给虚拟主机的话。可以scp httpd.csr ip:/tmp
		颁发机构主机上:
		openssl ca -in /path/httd.csr -out /path/httpd.crt  -days 365(时间)
		再把httpd.crt返回给请求者  scp ip:/tmp/httpd.crt ./
		#cat /etc/pki/CA/index.txt  
		可以看到增加了一个签署的证书

	Redhat提供了一个方式可以快速生成证书,不过仅用于测试使用:
		#cd /etc/pki/tls/certs
		#make httpd.pem
		因含有私钥,所以不能作为线上环境。
			他是根据makefile生成的。


		此时要确保你主机上安装了mod_ssl模块,
		然后在/etc/httpd/conf.d/ssl.conf编写VIrtualHost主机的域名,
		DocumentRoot,SSlEngine =on 表示启用ssl,证书的存放位置.crt<SSLCertificateFile>、私钥的存放位置.key<SSLCertificateKeyFile>等;)
		可以先备份一下/etc/httpd/conf.d/ssl_conf,防止出错恢复;
		最后把cacert.pem(这个是颁发机构的证书)拷贝到客户机上,并将其改为cacert.crt,安装此证书;即可实现https访问

```

更多可参考这个:
http://www.cnblogs.com/AloneSword/p/3809002.html
http://www.2cto.com/os/201108/99753.html

但是为了为了两个初次通信的用户能彼此知道对方的公钥,采用了IKE(internet key exchange)机制,这样两个用户在internet上传输数据的时候就知道彼此的公钥,然后使用对方的公钥来解密发来的加密的数据,而如何在通信的过程中来确定对方的身份,这就需要借助PKI(公钥基础设施),也就是说通过第三方来出示证明,在这里也就是使用证书机制来验证用户的信息,通常一个证书中存放着通信人的公钥。所以接下来就从加密开始,然后到颁发证书,最终实现验证的实验过程。

openssl支持的加密算法:

3 Standard commands
4 asn1parse ca ciphers cms
5 crl crl2pkcs7 dgst dh
6 dhparam dsa dsaparam ec
7 ecparam enc engine errstr
8 gendh gendsa genpkey genrsa
9 nseq ocsp passwd pkcs12
10 pkcs7 pkcs8 pkey pkeyparam
11 pkeyutl prime rand req
12 rsa rsautl s_client s_server
13 s_time sess_id smime speed
14 spkac ts verify version
15 x509
17 Message Digest commands 消息摘要命令(see the dgst' command for more details) 18 md2 md4 md5 rmd160 19 sha sha1 21 Cipher commands密码命令 (see the enc’ command for more details)
22 aes-128-cbc aes-128-ecb aes-192-cbc aes-192-ecb
23 aes-256-cbc aes-256-ecb base64 bf
24 bf-cbc bf-cfb bf-ecb bf-ofb
25 camellia-128-cbc camellia-128-ecb camellia-192-cbc camellia-192-ecb
26 camellia-256-cbc camellia-256-ecb cast cast-cbc
27 cast5-cbc cast5-cfb cast5-ecb cast5-ofb
28 des des-cbc des-cfb des-ecb
29 des-ede des-ede-cbc des-ede-cfb des-ede-ofb
30 des-ede3 des-ede3-cbc des-ede3-cfb des-ede3-ofb
31 des-ofb des3 desx idea
32 idea-cbc idea-cfb idea-ecb idea-ofb
33 rc2 rc2-40-cbc rc2-64-cbc rc2-cbc
34 rc2-cfb rc2-ecb rc2-ofb rc4
35 rc4-40 seed seed-cbc seed-cfb
36 seed-ecb seed-ofb zlib

谢谢你请我吃糖果

支付宝

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

探索世界美好的存在。