加密、解密原理和openssl自建CA

openssl协议简介

SSL（Secure Socket
Layer)是netscape公司提出的主要用于web的安全通信标准。一般情况下的网络协议应用中，数据在机器中经过简单的由上到下的几次包装，就进入网络，如果这些包被截获的话，那么可以很容易的根据网络协议得到里面的数据。

SSL就是为了加密这些数据而产生的协议，可以这么理解，它是位与应用层和TCP/IP之间的一层，数据经过它流出的时候被加密，再往TCP/IP送，而数据从TCP/IP流入之后先进入它这一层被解密，同时它也能够验证网络连接俩端的身份。所以对网络中数据的加密解密的安全知识的理解就显得尤为重要。

一、信息安全的标准

网络信息安全与保密的三个要素（CIA）：

保密性
完整性 可用性

除了CIA外，还有另外两个标准也被经常提醒：

真实性
可追溯性

二、加密方式和算法

（1）对称加密：采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密。

对称加密的算法：

DES
: 数据加密标准（56位密钥）

3DES

AES
：高级加密标准（128，192，256，384，512）

Blowfish

Twofish

IDEA

RC6

CAST5

对称加密的特性：

a）加密、解密使用同一口令；

b）将明文分隔成固定大小的块，逐个进行加密

对称加密的缺陷：

a）密钥过多；

b）密钥传输；

密钥交换、身份验正、数据完整性

（2）公钥加密：由对应的一对唯一性密钥（即公开密钥和私有密钥）组成的加密方法。

（公钥是从私钥中提取出来的。）

（公钥加密，只能私钥解密。私钥加密，也只能公钥解密。）

密钥：public
key, secret key （p/s）

常用加密算法：

RSA,
DSA, EIGamal

（DSA：只能用于身份验证）

（3）单向加密：不可逆的加密

单向加密特性：

定长输出:
无论原始数据是多大，结果大小都相同的

雪崩效应:
输入的微小改变，将会引起结果的巨大改变

单向加密算法：MD5（128位）、SHA1、SHA256、SHA384、SHA512

三、加密过程及原理

四、自建私有CA过程

A

①生成密钥

[[email protected] ~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
Generating RSA private key, 2048 bit long modulus
...............+++
....+++
e is 65537 (0x10001)
[[email protected] ~]#

②自签证书

[[email protected] ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN                
State or Province Name (full name) []:Henan
Locality Name (eg, city) [Default City]:Zhenzhou
Organization Name (eg, company) [Default Company Ltd]:mageedu
Organizational Unit Name (eg, section) []:OPS
Common Name (eg, your name or your server‘s hostname) []:bogon
Email Address []:[email protected]

③初始化环境（第一次必须）

# touch /etc/pki/CA/{index.txt,serial}

# echo 01 >> /etc/pki/CA/serial   （指定序列号从那个数字开始）

B

①节点申请证书：

(1) 节点生成请求

mkdir /etc/httpd/ssl

[[email protected] ~]# ls /etc/httpd/
conf/    conf.d/  logs/    modules/ run/     ssl/

②生成密钥对儿

[[email protected] ~]#  (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)
Generating RSA private key, 2048 bit long modulus
..................................................................................................................................+++
................+++
e is 65537 (0x10001)
[[email protected] ~]#................+++

③、生成证书签署请求

[[email protected] ~]#  openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Henan
Locality Name (eg, city) [Default City]:Zhenzhou
Organization Name (eg, company) [Default Company Ltd]:mageedu
Organizational Unit Name (eg, section) []:OPS
Common Name (eg, your name or your server‘s hostname) []:bogon
Email Address []:[email protected]

Please enter the following ‘extra‘ attributes
to be sent with your certificate request
A challenge password []:00woaioo
An optional company name []:00woaioo

C、 CA签署证书

①、验正证书中的信息；

②、签署证书

[[email protected] ~]# openssl ca -in /etc/httpd/ssl/httpd.csr -out /etc/httpd/ssl/httpd.crt -days 1000   
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Aug  3 21:05:10 2014 GMT
            Not After : Apr 29 21:05:10 2017 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = Henan
            organizationName          = mageedu
            organizationalUnitName    = OPS
            commonName                = bogon
            emailAddress              = [email protected]
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                CA:6B:7E:1F:CD:78:D7:E6:9D:EE:65:86:E0:F0:8C:A3:64:4D:01:B2
            X509v3 Authority Key Identifier:
                keyid:1E:B0:D5:A7:25:BF:58:40:13:76:10:6B:8E:F6:7B:BA:AB:8D:86:5A

Certificate is to be certified until Apr 29 21:05:10 2017 GMT (1000 days)
Sign the certificate? [y/n]:

③、发送给请求者；

加密、解密原理和openssl自建CA