OPENSSL加密技术及私有CA的搭建

加密方式有对称加密 非对称加密 单向加密

对称加密:

    加密和加密都用同一个对称密钥,但是,这种加密方法存在一定问题,就是密钥传输时,容易被盗窃。还有密钥管理困难,对称加密的方法:DESAESBlowfishTwofishIDEARC6CAST5

 

非对称加密:

公钥和私钥都可以进行加密,解密是公钥和私钥对应解密的,就好像一把锁对应多把相同的钥匙一样,公钥可以公开的,非对称加密解决了密钥传输时带来的问题,同时还解决了密钥管理的繁杂的问题。但是如果你用非对称加密的方式来加密一段数据,速度会非常慢,比对称加密的速度慢几个数量级。非对称加密的方法:RSA DSA

 

单向加密:

单向加密是用来提取数据的特征码,为了保证数据传输时的完整性,哪怕数据发生一点的变化,特征码都会引起巨大的改变,单向加密的方法:MD5 SHA

 

数据的安全传输方式:

(这个图取之于silently的浅谈Openssl与私有CA搭建博客文章的图)

 

1.png

第一步,用户B向服务器A发起访问请求,并携带自己的证书信息。服务器A收到用户B发来的证书后,查找安装系统时内置的证书或通过其它可靠途径获得证书公钥从中挑选出一个对应的公钥解密证书的签名信息,完成CA的合法身份验证,并得到签名信息的特征码,而后使用同样的算法提取签名信息的特征码与之对比,完成签名信息的完整性校验,然后再对比主体的名称与服务器的主机名是否一样,如果一样就从用户B中发来的证书中提取用户B的公钥信息,最后将自己的证书发送给用户B。

 

第二步,用户B收到服务器A发来的证书,使用与之同样的证书验证流程验证证书的合法性以及完整性,提取服务器A的公钥信息。

 

第三步:使用单向加密算法,提取数据的SO的特征码信息,使用自己的私钥加密上一步提取出来的特征码信息,而后将其附在数据S0后面,组成数据段S1,通过算法生成对称密钥,利用对称加密对数据段S1进行加密,生成加密后的数据段S2。使用用户B的公钥将上一步生成的对称密钥加密后将其附在数据段S2后面,生成数据段S3。最后将S3发送给用户

 

第四步:使用自己的私钥解密数据段S3,得到服务器A生成的对称加密密钥和数据段S2。使用上一步解密得到的密钥解密数据段S2得到加密后的数据特征码和明文数据段S0, 使用自己的私钥解密上一步得到的数据特征码,然后使用与服务器A相同的单向加密的算法提取明文数据S0的特征码与之比对,比对结果正确则说明数据时完整的。

 

使用openssl实现加密:

对称加密:

opesnssl enc

-e:表示加密

-d:表示解密

-in file:表示输入需要加密或解密的文件

 

-out file:表示输出加密或解密的文件

-a:表示64位的编码

例子:

     加密:         

2.png 

 

解密

3.png

非对称加密:

私钥生成:

 

      4.png

 

公钥生成:

           

5.png 

 

单向加密:

文件内容单向加密:
6.png
密码的单向加密:
7.png
                 
openssl支持随机数,用随机数作为salt

8.png

 

9.png

 

 

PKI公钥管理:

CA认证机构:证书的签订及颁发机构

RA注册机构:注册证书的地方

数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥;

密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但须注意,密钥的备份与恢复必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。

证书作废系统:证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。

 

CA证书的x.509格式

       (1) 版本号 (不同x.509格式的版本号)

(2) 序列号(发放证书的序列号)
(3) 签名算法标识符 (标识证书的hash算法和密钥的算法)
(4) 认证机构 (发放证书的机构)
(5) 有效期限 (证书可以使用的时间)
(6) 主体信息 (拥有者的姓名 服务的名字)
(7)主体的公钥信息(公钥的信息)
(8) 认证机构的数字签名 (存放用私钥加密单向加密的证书信息的特征码)

 

构建私有CA

先看一下openssl的配置文件(/etc/pki/tls/openssl.cnf)

 

10.png

 

看到配置文件,需要在/etc/pki/CA/index.txt 和 /etc/pki/CA/serial文件。

11.png

 

 

生成CA的私钥:                 

12.png

为CA自己签证:

 

13.png

这里的证书我放错了,需要放到/etc/pki/CA目录下的.

 

假如,我们在自己的机子上的http上生成一个证书让CA来签:

生成http的私钥:

14.png 

   生成http证书签订的请求:                 

15.png 

上面的配置信息也可以通过配置文件来指定。

 

把请求交给CA签订:

16.png 

 

 

 

下面讲一下吊销证书(如果你的私钥掉失后,应该做吊销证书)

 

第一步,先看一下你证书的信息:

17.png 

-noout:不输出多余的信息

-subject:输出摘要信息

-serial:输出该证书的序列号

 

然后,要对照一下/etc/pki/CA/index.txt文件里的证书信息,如果符合,就可以吊销了。

 

18.png 

 

然后,我们还要跟新吊销列表:

19.png 

20.png 

 

原创文章,作者:13-广州-杨过,如若转载,请注明出处:http://www.178linux.com/7079

(0)
13-广州-杨过13-广州-杨过
上一篇 2015-08-17
下一篇 2015-08-21

相关推荐

  • N22第八周作业

    1、请描述网桥、集线器、二层交换机、三层交换机、路由器的功能、使用场景与区别。 网桥: 网桥是早期的二层网络设备,每个端口分别有一条独立的交换信道,不是共享一条信道,可隔离冲突域。网桥比集线器(Hub)性能更好,集线器上各端口都是共享同一条信道的,工作于数据链路层。后被端口更多的交换机替代。 集线器: 多端口中继器,工作在物理层,本身不具备识别信号的能力,只…

    Linux干货 2016-10-17
  • linux文件权限管理和用户,组管理常用命令应用实例

    用户和组概念简述 用户一般指使用计算机的人,GNU/linux通过用户和用户组实现对计算机的文件访问和设备使用控制。 用户分类1.管理员root(类似皇帝,权力最大)2.普通用户:分为系统用户和普通登录用户。系统用户不登录,常用于发起一些进程提供服务,防止进程被劫持带来的风险,所以尽量减少以root身份发起进程对外提供服务。3.用户标识UID。管理员的UID…

    2017-10-05
  • 三剑客之Sed

    sed:stream editor(流编辑器) 工作特性:并不直接处理文本文件本身,处理机制为每当处理一个文件的时候,它会逐行读取,每次把一行读取到内存空间中去,而后在模式空间(pattern space)中完成编辑.并把编辑好的结果输出到屏幕上  功      能:数据替换、删除、增加、等,数据为关键字或者一整行, …

    Linux干货 2016-08-08
  • Linux Kernel

    Linux Kernel 概述:文章将主要介绍Linux 内核的相关信息,包括内核各组成部分的详细介绍,其中有内核信息的获取命令,uname;内核模块管理类命令:lsmod,modinfo,modprobe,insomd,rmmod;ramdisk生成的相关命令,mkinitrd和dracut命令;以及linux中的两个为文件系统 /proc和/sys。最后…

    Linux干货 2016-09-19
  • python装饰器1

    简单介绍装饰器(注意格式)

    Linux干货 2017-10-22
  • 设计模式(七)组合模式Composite(结构型)

    1. 概述 在数据结构里面,树结构是很重要,我们可以把树的结构应用到设计模式里面。 例子1:就是多级树形菜单。 例子2:文件和文件夹目录 2.问题 我们可以使用简单的对象组合成复杂的对象,而这个复杂对象有可以组合成更大的对象。我们可以把简单这些对象定义成类,然后定义一些容器类来存储这些简单对象。客户端代码必须区别对象简单对象和容器对象,而实际上大多数情况下用…

    Linux干货 2015-07-01