一、常用操作
对称加密:
openssl enc -e -aes256 -base64 -in goal.file -out result.file 加密,-base64 指使用 base64 編码 openssl enc -d -aes256 -base64 -in result.file -out goal.file 解密
单向加密(文件完整性,没有被篡改过):
openssl dgst -sha512 goal.file 使用 sha512 算法生成特征码,默认为 md5 算法
生成随机数
openssl rand -base64 10 按 base64 編码规则,生成 10 位随机数
管理用户密码(即对密码加密存放)
openssl passwd -1 -salt `openssl rand -base64 6` 注:-1 指使用 md5 算法,另可选 -apr1;-1 与 -salt 均为可选项
非对称加密(密钥对,私钥加密用于签名証明身份,公钥加密用于保护文件内容)
openssl genrsa 4096 > pkey.file && chmod 0600 pkey.file 生成私钥,密钥强度设置为 4096 ,可选 1024 或 2048 ;私钥权限必須严整控制 openssl rsa -in pkey.file -pubout > pubkey.file 生成公钥(从私钥中提取) openssl rsautl -encrypt -in goal.file -inkey pubkey.file -pubin -out result.file 使用公钥对文件 goal.file 加密,-pubin 声明使用公钥加密,默认是私钥 openssl rsautl -decrypt -in result.file -inkey pkey.file -out goal.file 使用私钥对文件 result.file 解密
二、 CA 相关
参考資料:
- http://www.cnblogs.com/yjmyzz/p/openssl-tutorial.html
- http://www.cnblogs.com/LittleHann/p/3738141.html
各詞解释:
- PKI :Public Key Infrastructure
- CRL :Certificate revocation lists ,证书黑名单、证书废除列表
- PKCS :Public Key Cryptography Standards ,公钥加密标准
- X.509 :国际电信联盟-电信部分(ITU-T)和国际标准化组织(ISO)的证书格式标准,作为ITU-ISO目录服务系列标准的一部分,X.509定义了公钥证书结构的基本标准;一份X.509证书是一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥的信息
- CSR :Certificate Signing Request,证书签名请求,是需要提交給 CA 的申请文件
- CRT :certificate,即证书
- PEM :Privacy Enhanced Mail,証书文件編码格式的一种,采用 base64 文本文件方式
- DER :Distinguished Encoding Rules,另一种証书文件編码格式,二进制編码,常见于 Windows 平台
配置文件位置:/etc/PATH/TO/openssl.cnf 不同发行版有差别,使用 openssl version -d 命令查看
一、自签証书(CA 服务端):
- 对应 openssl.cnf 中定义的位置,创建 index.txt 、serial 文件
- 使用 openssl genrsa 生成服务端私钥
- 生成自签証书:openssl req -new -x509 -key /PATH/TO/CA/ca_private_key -out /PATH/TO/CA/ca_cert -days 1000 注: -x509 选项用于创建自签(根) CA ,-days 指明有效期
二、申请証书(客户端):
- 生成申请文件并发送至 CA 机构 :openssl req -new -key /PATH/TO/client_private_key -out /PATH/TO/client_csr -days 100
三、签发証书(服务端):
- 签发証书并发送至客户端:openssl ca -in /PATH/TO/client_csr -out /PATH/TO/result_client_cst -days 100
时间: 2024-12-17 04:31:48