前言
随着互联网的迅猛发展,网络通信已经成为传递信息的主要途径。而通信时的数据传输大部分却是明文传输的,在网络这个不安全的环境下,如果没有一套数据加密机制,就会导致敏感信息和重要数据泄露,引起不可估量的损失。而OpenSSL正好弥补了这一缺憾,那什么是OpenSSL呢?OpenSSL是一套强大的具有加密功能的组件,它包含libcrypto(公共加密库)、libssl(SSL协议的实现)和openssl(多功能命令工具),因其开源思想,现已广泛应用于数据通信加密领域。OpenSSL还可在局域网内构建私有CA,实现局域网内的证书认证和授权,保证数据传输的安全性。如何构建私有CA呢?本文将详细讲述基于OpenSSL实现私有CA构建。
数据加密解密过程
数据加密需要实现的功能:数据私密性,数据完整性,身份认证和秘钥交换。
加密类型及功能: 单向加密:提取数据特征码,实现数据完整性验证 对称加密:数据加密,实现数据私密性 公钥加密:使用对方公钥加密,实现秘钥交换 使用自己私钥加密,实现身份验证
公钥在网络传输过程中,无法保证可信度,容易被窃取或伪装,所以我们就需要一个受信任的第三方机构(CA)
CA工作流程
#A和B各自用CA的公钥解密对方证书,完成身份验证
由于CA支持在互联网上价格不菲,所以在企业内,不牵涉外网通信前提下,完全自行构建一个局域网内的私有CA.
实现CA构建
OpenSSL可以构建适用于中小型企业的私有CA,如果需要在大型企业构建CA可以用OpenCA,有兴趣可以自行Google,这里就不做详解了,因为OpenSSL足以满足大多数需求。
建立CA服务器
生成秘钥
命令详解: umask 077:保证秘钥文件其他人无读写权限,在()内执行,只对当前子shell有效 -out /path/to/somefile:指定生成秘钥位置 2048:秘钥长度,可自定义 #openssl rsa -in private/cakey.pem -pubout -text 可提取公钥
自签证书
命令详解: req: 生成证书签署请求 -news: 新请求 -key /path/to/keyfile: 指定私钥文件 -out /path/to/somefile: 指定生成证书位置 -x509: 生成自签署证书 -days n: 有效天数 #Country Name (2 letter code) [XX]:CN #国家(大写缩写) #State or Province Name (full name) []:Shandong #省份或洲 #Locality Name (eg, city) [Default City]:Qingdao #城市 #Organization Name (eg, company) [Default Company Ltd]:Scholar #公司 #Organizational Unit Name (eg, section) []:Tech #部门 #Common Name (eg, your name or your server's hostname) []:ca.scholar.com #必须与证书所有者能解析到的名字保持一致,否则将无法通过验证 #Email Address []:ca@scholar.com #邮箱 #以上操作默认选项可通过修改配置文件(/etc/pki/tls/openssl.cnf)修改
初始化工作环境
命令详解: index.txt:证书缩影数据库 serial:签署证书编号文件 echo 01 > serial #设定编号初始值
客户端申请证书
生成密钥
#我们给web服务生成请求用于https,在其配置文件目录创建用于保存私钥和证书的目录
生成证书签署请求
#A challenge password []: #证书请求需要加密存放,如果添加密码,需要将密码一同给CA #An optional company name []:
将签署请求文件发送给CA服务器
#CA服务器工作目录下,手动创建了一个存放证书请求的目录(存放目录请随意)
CA签署证书
将签署的证书发送给请求者
这样客户端就可以配置使用CA签署的证书,进行加密通信了。如果客户端的私钥不慎丢失,或者证书过期了该怎么办呢?接下来我们看一下证书怎么吊销吧。
证书吊销
客户端获取证书serial
CA验证信息
根据节点提交的serial和subject信息来验正与index.txt文件中的信息是否一致
CA吊销证书
CA生成吊销证书编号(第一次吊销)
CA更新证书吊销列表
#如果有需要,可查看crl文件的内容 #openssl crl -in /path/to/crlfile.crl -noout -text
好了,证书成功吊销,可以重新申请了。
The end
以上便是基于OpenSSL构建私有CA的步骤了,实际效果请自行测试,这里我就不做解析测试了。仅为个人学习整理,如有错漏,大神勿喷~~~
原创文章,作者:书生,如若转载,请注明出处:http://www.178linux.com/2704
相关推荐
-
SElinux
selinux 配置文件 修改 就要重启 targeted:用来保护常见的网路服务,仅有限进程受到selinux控制,只监控容易被入侵的进程。 targeted 慢慢完善的法律 系统默认使用 targeted CENTOS6 CENTOS7 ZAI  …
-
第七周练习
1、创建一个10G分区,并格式为ext4文件系统; (1) 要求其block大小为2048, 预留空间百分比为2, 卷标为MYDATA, 默认挂载属性包含acl; (2) 挂载至/data/mydata目录,要求挂载时禁止程序自动运行,且不更新文件的访问时间戳; 1.[root – gwx ~]#>fdisk /dev/sdb2.W…
-
shell编程中的三种流程控制
流程控制 v 一 、过程式编程语言: 1.顺序执行 2.选择执行 3.循环执行 条件选择if 语句 选择执行: 注意: :if 语句可 嵌套 单分支 if 判断条件;then 条件为真的分支代码 fi 双分支 if 判断条件; then …
-
Zabbix通过邮件报警
Zabbix通过邮件报警 前言 本篇文章转自我的个人博客 http://anyisalin.com 欢迎大家访问 这次的内容大部分都是操作, 但是大家需要对定…
-
创建一个简易的Linux
目标: 为CentOS 6添加一块新硬件,提供两个主分区; (1) 为硬盘新建两个主分区;并为其安装grub; (2) 为硬盘的第一个主分区提供内核和ramdisk文件; 为第二个 分区提供rootfs; (3) 为rootfs提供bash、ls、cat程序及所依赖的库文件; (4) 为grub提供配置文件; …
-
8.1-用户和组(命令篇)
1、标准输入输出 我们知道,执行一个shell命令行时通常会自动打开三个标准文件, 即标准输入文件(stdin),通常对应终端的键盘; 标准输出文件(stdout) 标准错误输出文件(stderr),这两个文件都对应…
评论列表(2条)
书生,你这个图画的很溜啊 🙂
@瓶云:
