Linux九阴真经之九阴白骨爪残卷1(加密和安全)

Posted huxiaojun

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux九阴真经之九阴白骨爪残卷1(加密和安全)相关的知识,希望对你有一定的参考价值。

CA和证书

 

1、KPI :公共秘钥体系

 

        签证机构:CA

 

        注册机构:RA

 

        证书吊销列表:CRL

 

        证书存取库

 

509:定义了证书的结构以及认证协议标准
 
版本号
序列号
签名算法                   主体公钥        
颁发者                      CRL分发点
有效期限                    扩展信息
主体名称                   发行者签名

证书类型:

证书授权机构的证书

服务器

用户证书

获取证书两种方法:

?使用证书授权机构

生成签名请求(csr)

将csr发送给CA

从CA处接收签名

?自签名的证书
自已签发自己的公钥
 
安全协议
 
SSL:Secure  Socket  Layer
TLS:Transport  Layer  Security
 
功能:机密性,认证,完整性,重放保护(重新发一遍用户名和密码,跨过网站检查,危险)
 
HTTPS 协议:就是“HTTP 协议”和“SSL/TLS 协议”的组合。

  

OpenSSL                         

三个组件:

openssl:加密模块应用库,实现了ssl及tls,包nss

libcrypto:加密算法库,包openssl-libs

libssl:加密模块应用库,实现了ssl及tls,包nss

 

openssl命令

两种运行模式:交互模式和批处理模式

标准命令:
enc, ca, req, ...

对称加密

工具:oopenssl  enc,

算法:3des, aes,  blowfish,  twofish

enc命令

帮助:man   enc

 

加密:  openssl   enc -e  -des3   -a -salt  -in  testfile  -out  testfile.cipher

enc(对称加密)

-des3 (加密算法)

-a(以base64编码,用可见字符表示,方便查看)

 

解密: openssl  enc  -d(解密)  -des3  -a  -salt  -in  testfile.cipher  -out  testfile

 

单向加密:
工具:md5sum, sha1sum, sha224sum,sha256sum…
openssl dgst

生成用户密码

passwd命令:

帮助:man  sslpasswd

openssl passwd -1(以md5加密)  -salt (加盐,杂质,不容易破解)

生成随机数

openssl  rand  -base64 | -hex  NUM

NUM: 表示字节数;-hex时,每个字符为16进制,相当于4位二进制,出现的字符数为NUM*2

openssl  rand  -base64   9   (3的倍数 就不用添加=号)   ,生成随机数,适合当口令
openssl  rand  -base 64    12  | tr  -dc ‘[:alnum:]‘   生成一个12位随机密码,并且只留下数字和字母

生成密钥对儿

 

  生成私钥    (umask 066;openssl  genrsa -out  private.key 1024)

 

  私钥加密    (umask 066;openssl  genrsa -out  private.key -des 1024)

 

  生成公钥     (openssl rsa -in private.key -pubout -out public.key)将加密key解密
 
从私钥中提取出公钥

openssl  rsa  -in  PRIVATEKEYFILE  -pubout  -out  PUBLICKEYFILE

openssl  rsa  -in  test.key  -pubout  -out test.key.pub

 

创建CA和申请证书

 

一、创建CA

1、ROOT  CA   自己创建CA

生成私钥

自签名证书

 

二、用户或服务器

1、生成私钥

2、生成证书申请文件

3、将申请文件发给CA

 

三、CA颁发证书

 证书签名

四、证书发送给客户端

 

五、应用软件使用证书

 

例:向CA申请证书

1、建立Root CA   ,生成私钥

[[email protected] ~#cd /etc/pki/CA
[[email protected] /etc/pki/CA#(umask 077;openssl genrsa -out private/cakey.pem 4096)
Generating RSA private key, 4096 bit long modulus
...........++
.................................................................................................................++
e is 65537 (0x10001)

技术分享图片

 

2、自签名证书

[[email protected] /etc/pki/CA#openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ., the field will be left blank.
-----


3、用户服务器

(1)生成私钥

[[email protected] /etc/pki/CA#(umask 077;openssl genrsa -out app.key 1024)
Generating RSA private key, 1024 bit long modulus
.......++++++
.................................................................................++++++
e is 65537 (0x10001)

(2)生成证书申请文件

[[email protected] /etc/pki/CA#openssl req -new -key app.key -out app.csr

Country Name (2 letter code) [XX]:CN    
State or Province Name (full name) []:beijing
Locality Name (eg, city) [Default City]:beijing
Organization Name (eg, company) [Default Company Ltd]:magedu
Organizational Unit Name (eg, section) []:m30
Common Name (eg, your name or your servers hostname) []:www.magedu.com
Email Address []:

Please enter the following extra attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:


(3)将申请文件发给CA

[[email protected] /etc/pki/CA#sz certs/app.crt 

此时在windows上的app.crt文件的后缀名改为cer,即可打开 证书

4、CA颁发证书

(1)

[[email protected] /etc/pki/CA#touch index.txt

(2)

[[email protected] /etc/pki/CA#echo 0F > serial

(3)

[[email protected] /etc/pki/CA#openssl ca -in app.csr -out certs/app.crt -days 100
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok

 

























以上是关于Linux九阴真经之九阴白骨爪残卷1(加密和安全)的主要内容,如果未能解决你的问题,请参考以下文章

Linux九阴真经之九阴白骨爪残卷13()

Linux九阴真经之九阴白骨爪残卷11(并发访问控制和事务Transactions)

Linux九阴真经之九阴白骨爪残卷15

Linux九阴真经之九阴白骨爪残卷12(日志功能)

Linux九阴真经之九阴白骨爪残卷12(备份还原)

Linux九阴真经之九阴白骨爪残卷5(ansible用法二之template及roles 角色)