基于ssl协议和openssl工具建立私有CA

前言

    要自建CA需先了解openssl工具和ssl协议还有各加密类型

    ssl(Secure Socket Layer)安全套接字层当前版本为3.0,浏览器与Web服务器之间的身份认证和加密数据传输,它工作在传输层和各应用层之间,用户可以选择是否使用ssl进行传输,选择ssl协议将调用ssl函数库,端口也会发生变化。


加密类型

          对称加密:任意加密数据块和流的内容,加密和解密用同一个密码, 通常明文通过算法和密钥生成密文,再由接受者用相同的密钥和算法解密获取明文。

              算法:(DES、3DES、AES现在使用比较广、Blowfish、Twofish、IDEA、RC6、CAST5)
              特性:加密、解密使用同一口令。将明文分割成固定大小块,逐个进行加密
              缺陷:密钥过多、密钥传输不安全、密钥交换、身份验证。

               

          公钥加密:公钥和私钥是成对出现的,公钥包含在私钥中,公钥称为public key、私钥为secret key,由发起者对接受者索要公钥,用公钥加密数据后发送给接受者,接受者用算法和私钥解密

              缺陷:加密、解密时间过长一般不用于简单通信


          单项加密:单项机密也叫数据完整性校验,抽取数据特征码和之前特征码作比较以确保数据没有被窜改


          认证协议:用来确定通信方的真实性。


ssl会话模型

       发起者用单项加密获取数据特征码,用自己的私钥计算特征码附加在数据后面,在用对称加密对整个包(数据和特征码)进行加密,并用对方公钥加密对称加密密码,附加在整个包中一并发给对方。接受者用自己的私钥解密获取对称加密密码,得到密码后解密整个包获得数据和特征码,在用相同的算法计算特征码,用对方的公钥解密数据验证对方身份,用对方计算结果(特征码)和解析结果(特征码)进行对比,来验证数据的完整性


openssl工具

      对称加密工具openssl enc

               openssl命令选项:
                   -e:指定为加密,可以不写默认为加密。
                   -des3:指定算法算法
                   -salt:默认设置,生成一段字符串放在密码最前面进行加密,提高解密难度。
                   -a:基于base64处理数据。加密结果进行base64编码处理
                   -in:读取那个文件进行加密
                   -out:输出到那里
                   -d:指定为解密

               案例如下:

                   加密文件:openssl enc -e -des3 -a -salt -in test.sh -out ./test.txt
                   解密文件:openssl enc -d -des3 -a -salt -in test.txt -out ./test.sh 


       单项加密:openssl dgst

                  -md5:用md5方式加密
                  -sha1:sha1方式加密
                  -out:加密后密码保存到那里

               案例如下:

                  openssl dgst -md5 test.sh 或openssl dgst -md5 -out ./123a test.sh

                  openssl dgst -sha1 test.sh


       用户密码:openssl passwd

                  -1:md5加密、
                  -salt:自己指定附加信息。

                  生成随机数:openssl rand -base64 4或openssl rand -hex 4,生成8位随机数

               案例如下:

                  openssl passwd -1 -salt `openssl rand -base64 4` 123456  

    

       生成私钥和公钥:openssl genrsa 

               案例如下:

                 (umask 077;openssl genrsa -out ./mykey 2048)生成只有当前用户可读的2048字节mkkey私钥文件

                  openssl rsa -in ./mykey -pubout,-pubout根据私钥文件提取公钥


建立私有CA:

          服务器端:

             生成密钥

             自签证书

             初始化工作环境

       节点:

             生成密钥对儿

             生成证书签署请求

             把请求发送给CA

       CA服务器:

             验正请求者信息:自建CA无需该步骤

             签署证书

             把签好的证书发送给请求者    


服务器端自建CA

       生成密钥:

             (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

       自签证书:

             req: 生成证书签署请求
             -news: 新请求
             -key /path/to/keyfile: 指定私钥文件
             -out /path/to/somefile:输出文件到那里
             -x509: 生成自签署证书
             -days n: 有效天数
             openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655

             详细记录证书创建时所填信息如不一致签署将失败。建议修改openssl.conf文件发给每个申请节点

       初始化工作环境:
             touch /etc/pki/CA/{index.txt,serial}:创建相关文件
             echo 01 > /etc/pki/CA/serial。只需第一次创建序列号


节点申请证书:

       生成密钥:

             (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

         生成证书签署请求:

             openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr

         把签署请求文件发送给CA服务


CA服务器签署证书: 
                  
签署证书:

             openssl ca -in /path/to/somefile.csr -out /path/to/somefile.crt -days N
         发送给请求者:


CA证书验证会话模型

       在基于tcp/ip协议建立后,服务端会把ca证书发送给客户端,客户端得到证书后通过ca公钥进行解密ca签名,能解密证明该证书是可信任的、把解密出来的数据和重新计算出来的特征码对比对确保完整性、之后验证主机的名称和申请者名称是否相同,验证通过后客户端会取得服务器端公钥信息,客户端用公钥生成个一次性的对称加密密码发给服务器端。服务器端获取密码后加密网页数据发给客户端。


以上为建立CA大致流程,如有遗漏请告知。

原创文章,作者:xiangjin1,如若转载,请注明出处:http://www.178linux.com/3991

(0)
xiangjin1xiangjin1
上一篇 2015-05-05
下一篇 2015-05-07

相关推荐

  • M20 – 1- 第三周博客(1):Linux用户、组

    Linux是个多用户多任务的分时操作系统,因此要使用系统资源的用户都必须先向系统管理员申请一个账号,然后以这个账号的身份进入系统。用户的账号一方面能帮助系统管理员对使用系统的用户进行跟踪,并控制他们对系统资源的访问与限制,并为用户提供安全性保护。每个用户账号都拥有一个惟一的用户名(UID)和用户口令(PASSWD)。用户在登录时键入正确的用户名和口令后,才能…

    Linux干货 2016-08-04
  • linux用户与用户组详解

    LINUX用户与用户组详解     1,用户和用户组文件   在linux中,用户帐号,用户密码,用户组信息和用户组密码均是存放在不同的配置文件中的。分别是 passed gpassd shadow group 中。   在linux系统中,所创建的用户帐号和其相关信息(密码除外)均是存放在/etc…

    Linux干货 2017-07-22
  • 初识linux文件管理

    初识linux文件管理 1.文件系统与目录结构 文件系统从根目录 下开始,用“/”。 以. 开头的文件为隐藏文件,路径分隔用/表示。文件系统的层级结构是LSB(linux standard base),遵循文件系统层级标准(FHS ) 文件命名规则:   文件名最长255个字节,包括路径名在内共4095个字节  &nb…

    2017-02-18
  • yum更多用法及源码编译安装apache和当天作业

    一、yum的更多用法 上篇文章介绍了yum的基础用法及yum源的基本配置,除此之外yum还有更多的用法,以下将继续介绍yum的使用方法。 1、yum-config-manager工具,该工具可以自动生成yum的repo文件,而不需要手动创建编写,使用方法如下: 用法:yum-config-manager [options] [section] -add-re…

    Linux干货 2016-08-24
  • N26-第四周博客

    1、复制/etc/skel目录为/home/tuser1,要求/home/tuser1及其内部文件的属组和其它用户均没有任何访问权限。 [root@localhost skel]# cp -r /etc/skel /home/tuser1[root@localhost skel]# chmod -R go=— /home/tuser1 2、编辑/etc/…

    系统运维 2017-02-08
  • 今天正式加入马帮开启我的学习Linux之路

    3月26日马哥教育30期开学仪式,终于见到了我们的马哥马永亮先生,同时马哥还有前大众点评架构师张Sir以及国内首批通过红帽授权认证讲师(RHCI)的老王给我们新生做了开学演讲。接着我们的宗华老师以及云珍老师对我们平时的学习以及生活做出了各种介绍与规定,还有我们同学之间也进行了相互自我介绍彼此熟悉….

    2018-03-26