博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
ssl 协议与CA的创建
阅读量:6156 次
发布时间:2019-06-21

本文共 4437 字,大约阅读时间需要 14 分钟。

本文仅个人笔记,大神博客参考:https://my.oschina.net/liting/blog/372488

1.ssl 与tls的区别:参考http://kb.cnblogs.com/page/197396/

    简而言之,ssl和tls都是介于tcp/ip(网络层)与http(应用层)的之间,也就是它们的中间层。ssl出现比较早,后来人们在它的基础上制定了tls协议。tls 1.0相当于ssl 3.0,但是又各有差异。各种应用层协议,如果想进行安全加密传输,需要把数据多经由ssl这个中间层加密,比如http经由ssl层则变成https协议,smtp经由ssl层变成smtps协议等。而且它们的会话建立过程也需要多几个步骤,拿https来说,当tcp三次握手完成以后,客户端和服务端还需要类似以下操作(简要写法,详细资料参考http://www.cnblogs.com/jifeng/archive/2010/11/30/1891779.html):

    1.客户端发起建立安全会话请求

    2.客户端和服务端协商使用的中间层协议(ssl或tls)、加密算法等信息

    3.服务端向客户端发送服务端证书

    4.客户端向信任CA验证证书,并提取公钥

    5.客户端与服务器端协商密钥,并开始正常通信

之所以要协商加密算法,是因为加密算法有很多类型,主要有如下几种:

对称加密:

    DES:Data Encrption Standard

    3DES:在DES的基础上再进行加密,重复3次

    AES:Adanced Encrption Standard (改进版对称加密标准,安全性较高,目前比较常用) 

    Blowfish

单向加密:

    MD4

    MD5

    SHA1

    CRC-32:循环冗余校验码,与普通单向加密不通的是,一般的单向加密不同的输入输出的结果都是不一样的,但是CRC-32可能会一样,一般用在数据传输过程中进行校验并纠错。

非对称加密:

    RSA:可以进行验证身份、加密和解密

    DSA:仅用于验证身份。之所以不能加密解密的原因在于它的加密过程中使用到了单向加密,而单向加密的特点之一是结果不可逆性,详见:http://zhiqiang.org/blog/it/das-and-ecdsa-rsa.html

2.ssl的开源实现:openssl

    openssl主要这个套件主要包含三个部分:(Centos下rpm -ql openssl查看) 

    libcrypto:这是个加密库,里面包含各种加密算法的实现源码

    libssl:这个是ssl/tls层协议的实现库,,基于会话的,实现了身份认证、、数据机密性和会话完整性的TLS/SSL库

    openssl:多用途命令行工具,可以进行CA证书的颁发

以下内容摘抄自大神博客:https://my.oschina.net/liting/blog/372488(大神写的比我好太多了)

openssl:

    speed #:测试评估系统对加密算法的性能 (openssl speed des)

    enc:加密算法

例子:

openssl enc -des3 -salt -a -in inittab -out inittab.des3 :加密数据

openssl enc -des3 -d -salt -a -in inittab.des3 -out inittab:解密数据

openssl dgst -sha1 inittab:计算数据的特征码(摘要)

openssl passwd –l 密码 :输入密码即可显示加密后的密码

openssl passwd -1 -salt 数据:加密的时候指定salt

openssl rand -base64 100:生成随机数

OpenSSL openssl实现私有CA具体步骤

第一步,创建CA机构     

   修改配置文件      

   自己生成一对密钥 (私钥加密http公钥)      

   生成自签证书

第二步,客户端     

   生成一对密钥      

   生成证书颁发请求---.csr      

   将请求发给CA

第三步,CA机构     

   签署此证书      

   传送给客户端

(5). CA配置文件:/etc/pki/tls/openssl.cnf (只讲解重要部分)

[ CA_default ]

dir = /etc/pki/CA #工作目录 ,此处需要指定,不然给客户到签证的时候必须在特定的目录下才能实现。

certs = $dir/certs #客户端证书目录

crl_dir = $dir/crl #证书吊销列表

database = $dir/index.txt #证书记录信息

new_certs_dir = $dir/newcerts #新生成证书的目录

certificate = $dir/cacert.pem #CA自己的证书位置

serial = $dir/serial #序列号

crlnumber = $dir/crlnumbe #证书吊销列表序列号

crl = $dir/crl.pem #证书吊销列表文件

private_key = $dir/private/cakey.pem #CA自己的私钥

RANDFILE = $dir/private/.rand #随机数文件

(6). CA机构 先生成一对密钥,然后生成自签证书

a. 生成密钥

命令格式:openssl genrsa -out /PATH/TO/KEYFILENAME NUMBITS #NUMBITS:密钥长度,默认是128位的

(umask 077;openssl genrsa -out server.key 1024) #生成后直接为700权限的key

命令格式:openssl rsa -in /PATH/TO/KEYFILENAME –pubout #读入密钥文件并输出公钥文件(提取公钥)

openssl rsa –in server.key –pubout

b. 生成证书

openssl req -new -x509 -key server.key -out server.crt -days 365 #(-days:证书的有效期限),然后输入相关的信息即可生成证书

注意:主机名称:至关重要,与主机名称保持一致,DNS主机名称,通信的唯一凭证

openssl x509 -text -in server.crt #查看新生成的CA证书

16. 建立私有CA 颁发机构

(1). 修改配置

vim /etc/pki/tls/openssl.cnf

[ CA_default ]

dir = /etc/pki/CA #工作目录 ,此处需要指定,不然给客户到签证的时候必须在特定的目录下才能实现。

certs = $dir/certs #客户端证书目录

crl_dir = $dir/crl #证书吊销列表

database = $dir/index.txt #证书记录信息

new_certs_dir = $dir/newcerts #新生成证书的目录

certificate = $dir/cacert.pem #CA自己的证书位置

serial = $dir/serial #序列号

crlnumber = $dir/crlnumbe #证书吊销列表序列号

crl = $dir/crl.pem #证书吊销列表文件

private_key = $dir/private/cakey.pem #CA自己的私钥

RANDFILE = $dir/private/.rand #随机数文件

x509_extensions = usr_cert

(2). 把自身服务器做成CA

cd /etc/pki/CA

(umask 077; openssl genrsa -out private/cakey.pem 2048) #生成证书

openssl req -new -x509 -key private/cakey.pem -out cacert.pem #生成自签证书

mkdir certs newcerts crl #建立相关的目录

touch index.txt

touch serial #建立序列号文件

echo 01 > serial #写入起始序列号

(3). 配置httpd使用证书

cd /etc/httpd #web服务器的配置目录

mkdir ssl

cd ssl #每一种服务要想使用证书,必须有私钥,每一种应用都需要自己的证书

(umask 077; openssl genrsa -out http.key 1024)#给自己生成密钥

openssl req -new -key httpd.key -out httpd.csr #证书签署请求文件,机构和其他名字必须和CA颁发机构上的一样

在签名时,如果报“The stateOrProvinceName field needed to be the same in the CA certificate”,是因为在openssl.cfg中的policy_match里面的前三个都选了match,修改成 
stateOrProvinceName = optional 
organizationName = optional 

openssl ca -in httpd.csr -out httpd.crt -days 365 #CA签名,签名以后才可以使用

个人写的创建CA脚本:

1
2
3
4
5
6
7
8
9
10
11
12
13
#!/bin/bash
export 
PATH=
/usr/local/sbin
:
/usr/local/bin
:
/sbin
:
/bin
:
/usr/sbin
:
/usr/bin
:
/root/bin
[ ! -f 
/etc/pki/CA/index
.txt ] && 
touch 
/etc/pki/CA/index
.txt
[ ! -f 
/etc/pki/CA/serial 
] && 
echo 
"00" 
/etc/pki/CA/serial
(
umask  
077; openssl genrsa -out 
/etc/pki/CA/private/cakey
.pem 2048)
echo 
"CN
fujian
xiamen
meihe
Tech
www.DamnSingle.com
test
@163.com
"|openssl req -new -x509 -key 
/etc/pki/CA/private/cakey
.pem  -out 
/etc/pki/CA/cacert
.pem
本文转自biao007h51CTO博客,原文链接:http://blog.51cto.com/linzb/1870944 ,如需转载请自行联系原作者
你可能感兴趣的文章
禁用ViewState
查看>>
Android图片压缩(质量压缩和尺寸压缩)
查看>>
nilfs (a continuent snapshot file system) used with PostgreSQL
查看>>
【SICP练习】150 练习4.6
查看>>
HTTP缓存应用
查看>>
KubeEdge向左,K3S向右
查看>>
DTCC2013:基于网络监听数据库安全审计
查看>>
CCNA考试要点大搜集(二)
查看>>
ajax查询数据库时数据无法更新的问题
查看>>
Kickstart 无人职守安装,终于搞定了。
查看>>
linux开源万岁
查看>>
linux/CentOS6忘记root密码解决办法
查看>>
25个常用的Linux iptables规则
查看>>
集中管理系统--puppet
查看>>
分布式事务最终一致性常用方案
查看>>
Exchange 2013 PowerShell配置文件
查看>>
JavaAPI详解系列(1):String类(1)
查看>>
HTML条件注释判断IE<!--[if IE]><!--[if lt IE 9]>
查看>>
发布和逸出-构造过程中使this引用逸出
查看>>
Oracle执行计划发生过变化的SQL语句脚本
查看>>