Linux九阴真经之九阴白骨爪残卷1(加密和安全)

CA和证书

1、KPI :公共秘钥体系

签证机构:CA

注册机构:RA

证书吊销列表:CRL

证书存取库

509:定义了证书的结构以及认证协议标准

版本号
序列号
签名算法                   主体公钥        
颁发者                      CRL分发点
有效期限                    扩展信息
主体名称                   发行者签名

证书类型:

证书授权机构的证书

服务器

用户证书

获取证书两种方法:

?使用证书授权机构

生成签名请求(csr)

将csr发送给CA

从CA处接收签名

?自签名的证书
自已签发自己的公钥

安全协议

SSL:Secure  Socket  Layer

TLS:Transport  Layer  Security

功能:机密性,认证,完整性,重放保护(重新发一遍用户名和密码,跨过网站检查,危险)

HTTPS 协议:就是“HTTP 协议”和“SSL/TLS 协议”的组合。

  

OpenSSL                         

三个组件:

openssl:加密模块应用库,实现了ssl及tls,包nss

libcrypto:加密算法库,包openssl-libs

libssl:加密模块应用库,实现了ssl及tls,包nss

openssl命令

两种运行模式:交互模式和批处理模式

标准命令:
enc, ca, req, ...

对称加密

工具:oopenssl  enc,

算法:3des, aes,  blowfish,  twofish

enc命令

帮助:man   enc

加密:  openssl   enc -e  -des3   -a -salt  -in  testfile  -out  testfile.cipher

enc(对称加密)

-des3 (加密算法)

-a(以base64编码,用可见字符表示,方便查看)

解密: openssl  enc  -d(解密)  -des3  -a  -salt  -in  testfile.cipher  -out  testfile

单向加密:
工具:md5sum, sha1sum, sha224sum,sha256sum…
openssl dgst

生成用户密码

passwd命令:

帮助:man  sslpasswd

openssl passwd -1(以md5加密)  -salt (加盐,杂质,不容易破解)

生成随机数

openssl  rand  -base64 | -hex  NUM

NUM: 表示字节数;-hex时,每个字符为16进制,相当于4位二进制,出现的字符数为NUM*2

openssl  rand  -base64   9   (3的倍数 就不用添加=号)   ,生成随机数,适合当口令

openssl  rand  -base 64    12  | tr  -dc ‘[:alnum:]‘   生成一个12位随机密码,并且只留下数字和字母

生成密钥对儿

  生成私钥    (umask 066;openssl  genrsa -out  private.key 1024)

  私钥加密    (umask 066;openssl  genrsa -out  private.key -des 1024)

  生成公钥     (openssl rsa -in private.key -pubout -out public.key)将加密key解密

从私钥中提取出公钥

openssl  rsa  -in  PRIVATEKEYFILE  -pubout  -out  PUBLICKEYFILE

openssl  rsa  -in  test.key  -pubout  -out test.key.pub

创建CA和申请证书

一、创建CA

1、ROOT  CA   自己创建CA

生成私钥

自签名证书

二、用户或服务器

1、生成私钥

2、生成证书申请文件

3、将申请文件发给CA

三、CA颁发证书

证书签名

四、证书发送给客户端

五、应用软件使用证书

例:向CA申请证书

1、建立Root CA   ,生成私钥

[[email protected] ~#cd /etc/pki/CA
[[email protected] /etc/pki/CA#(umask 077;openssl genrsa -out private/cakey.pem 4096)
Generating RSA private key, 4096 bit long modulus
...........++
.................................................................................................................++
e is 65537 (0x10001)

2、自签名证书

[[email protected] /etc/pki/CA#openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----

3、用户服务器

(1)生成私钥

[[email protected] /etc/pki/CA#(umask 077;openssl genrsa -out app.key 1024)
Generating RSA private key, 1024 bit long modulus
.......++++++
.................................................................................++++++
e is 65537 (0x10001)

(2)生成证书申请文件

[[email protected] /etc/pki/CA#openssl req -new -key app.key -out app.csr

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:beijing
Locality Name (eg, city) [Default City]:beijing
Organization Name (eg, company) [Default Company Ltd]:magedu
Organizational Unit Name (eg, section) []:m30
Common Name (eg, your name or your server‘s hostname) []:www.magedu.com
Email Address []:

Please enter the following ‘extra‘ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

(3)将申请文件发给CA

[[email protected] /etc/pki/CA#sz certs/app.crt 

此时在windows上的app.crt文件的后缀名改为cer,即可打开 证书

4、CA颁发证书

(1)

[[email protected] /etc/pki/CA#touch index.txt

(2)

[[email protected] /etc/pki/CA#echo 0F > serial

(3)

[[email protected] /etc/pki/CA#openssl ca -in app.csr -out certs/app.crt -days 100
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok

原文地址:https://www.cnblogs.com/huxiaojun/p/9058285.html

时间: 2024-10-09 08:54:44

Linux九阴真经之九阴白骨爪残卷1(加密和安全)的相关文章

Linux九阴真经之九阴白骨爪残卷2(SSH)

SSH ssh:安全的远程登录 两种方式的用户登录认证 基于passwork 基于key 客户端 常见的客户端工具有:Windows版的putty.securecrt.xshell:linux中有ssh.sftp.scp.slogin等 配置文件: /etc/ssh/ssh_config ssh命令 用法:ssh  [email protected]   CMD 选项: -p   port :  远程服务器监听端口 -b          :  指定连接的源IP -v          :  调

Linux九阴真经之九阴白骨爪残卷5(ansible用法二之Playbook和YAML语法)

playbook是由一个或多个"play"组成的列表 play的主要功能在于将事先归并为一组的主机装扮成事先通过ansible中的task定义好的角色.从根本上来讲,所谓task无非是调用ansible的module.将多个play组织在一个playbook中,即可让他们联通起来按事先编排的机制运行. Playbook 采用yaml 语言编写每一个ansible 的 playbook 都是一个yaml格式的文件,因此要学习编写剧本(playbook), 我们先来了解 yaml 语法的基

Linux九阴真经之九阴白骨爪残卷8(存储函数、存储过程、触发器)

存储函数 说明: 参数可以有多个,也可以没有参数,必须有且只有一个返回值. 1.系统函数 参考官方文档:https://dev.mysql.com/doc/refman/5.7/en/func-op-summary-ref.html 2.自定义函数(user-defined function:UDF) 自定义函数保存在mysql.proc表中 查看UDF列表 SHOW FUNCTIOIN STATUS; 查看UDF定义 SHOW CREATE FUNCTION function_name 删除U

Linux九阴真经之九阴白骨爪残卷11(并发访问控制和事务Transactions)

一.并发访问控制 实现的并发访问的控制技术是基于锁: 锁分为表级锁和行级锁,MyISAM存储引擎不支持行级锁:InnoDB支持表级锁和行级锁: 锁的分类有读锁和写锁,读锁也被称为共享锁,加读锁的时候其他的人可以读:写锁也称为独占锁或排它锁,一个写锁会阻塞其他读操作和写操作: 锁还分为隐式锁和显式锁,隐式锁由存储引擎自行管理,显式锁是用户手动添加锁: 锁策略:在锁粒度及数据安全性寻求的平衡机制. 显式锁的使用方法:LOCK TABLES tbl_name READ|WRITE MariaDB [s

Linux九阴真经之九阴白骨爪残卷12(备份还原)

一.备份策略 1.备份的类型 类型1: 热备份:读写不受影响(MyISAM不支持热备,InnoDB支持热备) 温备份:仅可以执行读操作 冷备份:离线备份,读写操作均中止 类型2: 物理备份:复制数据文件进行备份,占用较多的空间,速度快 逻辑备份:将数据导出至文本文件中,占用空间少,速度慢,可能丢失精度 类型3: 完全备份:备份全部数据 增量备份:仅备份上次完全备份或增量备份以后变化的数据,备份较快,还原复杂 差异备份:仅备份上次完全备份以来变化的数据,备份较慢,还原简单 2.备份需要考虑的因素

Linux九阴真经之九阴白骨爪残卷13()

备份还原案例 前提:log_bin=ON 一.早上上班后误删数据库,如何恢复数据库 1.假设早上已经完成备份 (开启二进制),然后在students表里新增了一条数据 [[email protected] ~]#mysqldump -A -F --single-transaction --master-data=2 > /backup/full.sqlMariaDB [hellodb]> insert students values (26,'laobai',30,'M',7,2); 2.然后

Linux九阴真经之九阴白骨爪残卷15

一.MySQL复制相关概念 1.主从复制:主节点将数据同步到多个从节点 2.级联复制:主节点将数据同步到一个从节点,其他的从节点在向从节点复制数据 3.同步复制:将数据从主节点全部同步到从节点时才返回给用户的复制策略叫同步复制 4.异步复制:只要数据写入到主节点就立即返回给用户同步完成 5.读写分离:在前端加一个调度器,负责将改变数据的语句和查询数据的语句分开调度,把写操作调度到主节点,读操作调度到从节点 主节点: dump Thread:为每个Slave的I/O Thread启动一个dump线

Linux九阴真经之催心掌残卷3

用户.组和权限 Linux组的类别用户必须属于一个且只有一个主组组名同用户名,且仅包含一个用户,私有组用户的附加组(supplementary group)一个用户可以属于零个或多个辅助组 chsh 更改用户shell类型 chsh -s  /etc/nologin wang :更改wang的shell类型为nologin类型 修改用户口令属性 [[email protected] ~]#chage root Changing the aging information for root Ent

Linux九阴真经之无影剑残卷(磁盘存储和文件系统)

一.磁盘简介 计算机的外部存储器中也采用了类似磁带的装置,比较常用的一种叫磁盘,将圆形的磁性盘片装在一个方的密封盒子里,这样做的目的是为了防止磁盘表面划伤,导致数据丢失. 1.硬盘的chs模式 是指chs(Cylinder/Head/Sector)模式,很久以前,硬盘的容量还非常小的时候,人们采用与软盘类似的结构生产硬盘.也就是硬盘盘片的每一条磁道都具有相同扇区数. 由此产生了所谓的3D参数 (Disk Geometry). 既磁头数(Heads),柱面数(Cylinders), 扇区数(Sec