OpenSSL用法详解

OpenSSL用法详解

OpenSSL

       组件:libcrypto,libssl

                openssl

       openssl

              众多子命令,可分为三类:

              标准命令

              消息摘要命令(dgst子命令)

              加密命令(enc子命令)           

       标准命令:enc,ca,reeq,genrsa…

linux系统上的随机数生成器

       /dev/random:仅从熵池返回随机数,随机数用尽,阻塞进程

       /dev/urandom:从熵池中返回随机数,随机数用尽,会利用软件生成伪随机数,不会阻塞进程,但不够安全

       熵池中随机数的来源: 硬盘IO中断的时间间隔

使用openssl完成对称加密

       支持的算法:3des、aes、blowfish、towfish

      1、 enc子命令:

              加密:

]#openssl enc -e -des3 -a -salt -in fstab -out fstab.cipher

              解密:

]#openssl enc -d -des3 -a -salt -out fstab.out -in fstab.cipher

使用openssl完成单向加密

      2、 dgst子命令             

]#md5sum fstab]#openssl dgst -md5 fstab

blob.png

使用openssl生成用户加密

       生成随机数:

]#openssl rand -base64 6      #8进制随机数
]#openssl rand -hex 30        #16进制随机数
]#openssl passwd -1 -salt $(openssl rand -hex 6)

blob.png

使用openssl完成公钥加密

       加密解密

              支持的算法:RSA、ELGamal

              工具:openssl rsautl,gpg

       数字签名

              支持的算法:RSA、ELGamal、DSA

              工具:openssl rsautl,gpg

       密钥交换

              支持的算法:RSA、DH

       如何生成密钥对

              如何生成私钥:                   

]#(umask 077;openssl genrsa -out /root/mykey.private 2048)

blob.png

        注意:生成的私钥除了属主,其他任何用户都不应该有任何权限

        如何从公钥中提取私钥                    

]#openssl rsa -in /root/mykey.private -pubout -out /root/mykey.public

blob.png

CA

       公共权威CA

       私有CA

如何自建CA:

       openssl

       openCA:二次封装的openssl。

       配置文件:/etc/pki/tls/openssl.cnf

blob.png

如何构建私有CA:

在确认配置为CA的服务器上生成一个自签证书,并为CA提供所需要的目录及文件

        步骤:

              1、生成私钥:                    

]#(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)

              2、生成自签证书:          

]#openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655

              -new:生成证书签署请求

              -x509:生成自签格式证书,专用于创建私有CA

              -key:生成请求时用到的私钥文件路径

              -out:生成的请求文件路径,如果自签操作将直接生成签署过的证书

              -days:证书的有效时长,单位是day

 blob.png

             3、 为CA提供所需的目录及文件

 ]#mkdir -pv /etc/pki/CA/{certs,crl,newcerts} ]#touch /etc/pki/CA/{serial,index.txt} ]#echo 01 > /etc/pki/CA/serial

blob.png

要用到证书进行安全通信的服务器,需要向CA请求签署证书

步骤:

       1、在用到证书的主机上生成私钥            

~]# mkdir /etc/httpd/ssl~]# cd /etc/httpd/ssl~]# (umask 077;openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

blob.png

       2、生成证书签署请求       

]# openssl req -new -key httpd.key -out httpd.csr -days 365

blob.png

       3、将请求发送到CA服务器上            

]# scp httpd.csr root@10.1.154.97:/etc/pki/CA/certs

       4、在CA上签署证书请求            

]#openssl ca -in httpd.csr -out httpd.crt -days 365

blob.png

       5、签署证书之后,将证书拷贝给请求的主机             

]#scp httpd.crt root@10.1.154.94:/etc/httpd/ssl

blob.png

       6、查看证书中的信息              

]# openssl x509 -in httpd.crt -noout -serial -subject

              -serial:查看证书序列号

              -subject:查看证书主体信息

blob.png

       7、如何吊销证书,需要在CA上执行

              (1)客户端获取要吊销证书的serial            

]# openssl x509 -in httpd.crt -noout -serial -subject

              (2)CA吊销证书

              先根据客户提交的serial和subject信息,对比其与本机数据库index.txt中存储的是否一致,一致,则吊销           

]#openssl ca -revoke ./certs/httpd.crt

blob.png

              (3)生成证书吊销列表            

]#echo 01 > /etc/pki/CA/crlnumber

              (4)更新证书吊销列表             

]#openssl ca -gencrl -out ./certs/httpd.crt

 blob.png

原创文章,作者:M20-1钟明波,如若转载,请注明出处:http://www.178linux.com/48630

(4)
上一篇 2016-09-23 09:06
下一篇 2016-09-23 09:44

相关推荐

  • 零距离接触软RAID0和RAID5以及逻辑卷LVM

    一、创建一个可用空间为1G的RAID1设备,文件系统为ext4,有一个空闲盘,开机可自动挂载至/backup目录 1、首先手动给虚拟机添加两块硬盘 2、添加硬盘后,无需关机,直接让内核扫描添加的磁盘 [root@centos6 ~]# echo '- – -' >&nbsp…

    Linux干货 2016-09-01
  • 堡垒机-麒麟开源堡垒机SSH公私钥认证配置文档

    1、进入SSH公私钥管理界面 操作步骤:进入系统,点击左侧导航资产管理,后边TAB标签导航SSH公私钥,如下图     2、批量导入SSH公私钥: SSH公私钥管理界面,点击下方”导入“,进入导入页面上传公私钥,     上传说明: 1) 讲所有的公私钥放到一个名为pvt的空文件夹中。 2) 在同样…

    Linux干货 2016-05-29
  • Linux发展及简单命令

    一 计算机的组成及其功能 冯·诺依曼提出的计算机体系结构:计算机由控制器、运算器、存储器、输入设备、输出设备五部分组成。 二 Linux的发行版 Linux发行版主要有三个分支:Debian、Slackware、Redhat。 (1)Debian:(以社区的方式运作) Ubuntu:基于Debian开发的开源Linux操作系统,主要针对桌面和服务器; Lin…

    2018-03-02
  • LVM逻辑卷管理器

    Logical Volume Manager     LVM(逻辑卷管理)是Linux环境下对磁盘分区进行管理的一种机制。     普通的磁盘分区管理方式在逻辑分区划分好之后就无法改变其大小,     某个分区空间耗尽时,解决的方法通常是使…

    Linux干货 2016-08-29
  • N29第一周作业:初识Linux系统

    1、描述计算机的组成及其功能。
    2、按系列罗列Linux的发行版,并描述不同发行版之间的联系与区别。
    3、描述Linux的哲学思想,并按照自己的理解对其进行解释性描述。
    4、说明Linux系统上命令的使用格式;详细介绍ifconfig、echo、tty、startx、export、pwd、history、shutdown、poweroff、reboot、hwclock、date命令的使用,并配合相应的示例来阐述。
    5、如何在Linux系统上获取命令的帮助信息,请详细列出,并描述man文档的章节是如何划分的。
    6、请罗列Linux发行版的基础目录名称命名法则及功用规定

    2018-03-04
  • 网络班第七周 作业

    1、创建一个10G分区,并格式为ext4文件系统 (1) 要求其block大小为2048,预留空间百分比为2,卷标为MYDATA,默认挂载属性包含acl (2) 挂载至/data/mydata目录,要求挂载时禁止程序自动运行,且不更新文件的访问时间戳 创建了一个20G的SCSI硬盘 fdisk /dev/sdb 创建ext4文件系统 ~]# mke2fs -…

    2017-09-16

评论列表(1条)

  • 马哥教育
    马哥教育 2016-09-23 11:53

    总结的很详细,