前言:
openssl是一款很强大的多用途的开源加密解密的命令行工具,比如创建私钥,创建证书签名请求,测试各种加密算法耗时等等。
在我们进入openssl工具讲解之前,我们有必要先了解先Linux下的加密解密方式,以及常用的加密算法与协议。
然后最后我们详细讲解使用openssl自建CA的方法
目录:
1. Linux加密解密过程:
如图:
2. 常用密码算法和协议
常用的加密算法有三种:
1. 对称加密算法:
同一个密钥可以同时用作信息的加密和解密,将明文分割成固定大小的块,逐个进行解密,这种加密方法称为对称加密;
对称加密的缺陷就是需要维护的密钥太多。
常用的对称加密算法:DES (56)、3DES、AES (128,192,256,384,512)、Blowfish、Twofish、IDEA、RC6、CAST5等 ;
2. 公钥加密
也叫非对称加密,是由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。
常用的公钥加密算法:RSA, DSA, EIGamal等;
3. 单向加密:
是不可解密的加密方法,是非可逆的;并且加密的结果是定长的
常用的公钥加密算法:MD5、SHA1、SHA256、SHA384、SHA512等;
实际上单向加密,一般只是用来提取文件特征码,验证数据或证书的数据完整性,也会被称为数据指纹
4.认证协议:
IKE协议(Internet Key Exchange):常用来确保虚拟专用网络VPN与远端网络或者宿主机进行交流时的安全;
SSL( 安全套接字层): 网络通信提供安全及数据完整性的一种安全协议。
TLS(传输层安全): 是仿照SSL制定,用于在两个通信应用程序之间提供保密性和数据完整性。
3. openssl命令行工具简单应用
OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。
查看本机openssl版本:
#openssl version
3.1 对文件进行对称加密:
工具: openssl enc
算法:DES, 3DES, AES, Blowfish, Twofish, RC6, idea, CAST5
# openssl enc -des3 -a -salt -in /path/from/somefile -out /path/to/somecipherfile
# openssl enc -d -des3 -a -salt -in /path/from/somecipherfile -out /path/to/somefile
3.2 使用openssl做单向加密:
工具: openssl dgst
# openssl dgst [-md5|-sha1] [-out /path/to/filename] /path/from/somefile
MAC: 消息摘要码,单向加密的一种延伸类的应用
应用:用于实现在网络通信中保证所传输的数据的完整性
机制:
CBC-MAC
HMAC:使用md5或sha1算法
3.3 生成用户密码:
工具: openssl passwd
获取帮助:
#whatis passwd
passwd (1) - update user‘s authentication tokens
passwd (5) - password file
passwd [sslpasswd] (1ssl) - compute password hashes
选择最后那个,然后:
#man passwd sslpasswd
#openssl passwd -1 -salt jingming
Password: 输入密码后,回车
$1$jingming$jmHXxFlxswHGuht5Qbkgk/ #这里显示的第一段$$内容为salt,后面为密码
3.4 生成随机数:
生成随机数,主要是用于生成密码时候作为动态的salt来用
#openssl rand
#openssl rand -hex|-base64 num
#openssl rand -base64 4
例如: 生成一个随机salt的用户密码:
#oepnssl passwd -1 -salt `openssl rand -hex 4`
3.5 公钥加密(非对称加密)
公钥加密用的不多,因为公钥加密速度很慢。。。
算法: RSA, EIGamal
工具: gpg, openssl rsatul
3.6 数字签名
算法: RSA, EIGamal, DSA(只能用来签名,不能用来加密)
这两种表述都是用来做数字签名的
DSA: Digital Signature Algorithm
DSS: Digital Signature Standard
3.7 生成密钥(Private key):
#openssl genrsa -out /path/to/keyfile NUMBEROFBITS(位数:1024/2048/4096...)
#生成的是私钥,但是公钥是包含在private key内的。生成的私钥很重要,所以生成后,一定要更改权限为600或者400
但是我们可以通过下面的方式,来修改权限:
#(umask 077; openssl genrsa -out /path/to/keyfile NUMBEROFBITS)
用()表示在子shell中运行umask命令,及创建私钥, 这样umask只会对这两条命令有效,执行完,返回父shell,umask 077设置就无效了
提出公钥:
#openssl rsa -in /path/from/private_key_file -pubout
4. 利用openssl自建CA
4.1 建立CA服务器:
1、生成密钥
# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
2、自签证书
# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655
req: 生成证书签署请求
-news: 新请求
-key /path/to/keyfile: 指定私钥文件
-out /path/to/somefile:
-x509: 生成自签署证书
-days n: 有效天数
3、初始化工作环境
# touch /etc/pki/CA/{index.txt,serial}
# echo 01 > /etc/pki/CA/serial
4.2 节点申请证书:
(一) 节点生成请求
1、生成密钥对儿
# (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)
2、生成证书签署请求
# openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr
3、把签署请求文件发送给CA服务
# scp
(二) CA签署证书
1、验正证书中的信息;
2、签署证书
# openssl ca -in /path/to/somefile.csr -out /path/to/somefile.crt -days N
3、发送给请求者;
4.3 吊销证书
(一)节点
1、获取证书serial
# openssl x509 -in /path/to/certificate_file.crt -noout -serial -subject
(二) CA
2、根据节点提交的serial和subject信息来验正与index.txt文件中的信息是否一致;
3、吊销证书
# openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
4、生成吊销证书的编号(如果是第一次吊销)
# echo 00 > /etc/pki/CA/crlnumber
5、更新证书吊销列表
# cd /etc/pki/CA/crl/
# openssl ca -gencrl -out thisca.crl
如果需要,查看crl文件的内容:
# openssl crl -in /path/to/crlfile.crl -noout -text