使用OpenSSL生成一个CA根证书,并用这个根证书颁发server和client子证书
公钥/私钥/签名/验证签名/加密/解密/非对称加密
对称加密,用一个密码加密,用同样的密码解密;非对称加密:用一个密码加密,用另外一组密码。这是数学上的一个素数积求因子的原理的应用;公钥和私钥:字证书采用公钥体制,用一对互相匹配的密钥进行加密、解密。用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名,同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。
RSA/DSA/SHA/MD5
非对称加密的算法有很多,比较著名的有RSA/DSA ,RSA可以用于加/解密,也可以用于签名验签,DSA只能用于签名。
SHA是一种和MD5相同的算法,它不是用于加密解密或者签名的,它被称为摘要算法。就是通过一种算法,依据数据内容生成一种固定长度的摘要,这串摘要值与原数据存在对应关系,就是原数据会生成这个摘要,但是这个摘要是不能还原成原数据。这个算法起的作用就是,如果你修改原数据,那么生成的摘要会不同,传输过程中把原数据给你再给你一个摘要,你把得到的原数据同样做一次摘要算法,与给你的摘要相比较就可以知道这个数据有没有在传输过程中被修改了。
实际应用过程中,因为需要加密的数据可能会很大,进行加密费时费力,所以一般都会把原数据先进行摘要,然后对这个摘要值进行加密,将原数据的明文和加密后的摘要值一起传给你,这样你解开加密后的摘要值,再和你得到的数据进行的摘要值对应一下就可以知道数据有没有被修改了,因为私钥只有你有,只有你能解密摘要值,所以别人就算把原数据做了修改,然后生成一个假的摘要给你也是不行的,你这边用密钥也解不开。
CA/PEM/DER/X509/PKCS
一般的公钥不会用明文传输给别人的,正常情况下都会生成一个文件,这个文件就是公钥文件,然后这个文件可以交给其他人用于加密,但是传输过程中如果有人恶意破坏,将你的公钥换成了他的公钥,然后得到公钥的一方加密数据,他就可以用他自己的密钥解密看到数据了,为了解决这个问题,需要一个公证方来做这个事,任何人都可以找它来确认公钥是谁发的。这就是CA,CA确认公钥的原理也很简单,它将它自己的公钥发布给所有人,然后一个想要发布自己公钥的人可以将自己的公钥和一些身份信息发给CA,CA用自己的密钥进行加密,这里也可以称为签名。然后这个包含了你的公钥和你的信息的文件就可以称为证书文件了。这样一来所有得到一些公钥文件的人,通过CA的公钥解密了文件,如果正常解密那么机密后里面的信息一定是真的,因为加密方只可能是CA,其他人没它的密钥。这样你解开公钥文件,看看里面的信息就知道这个是不是那个你需要用来加密的公钥了。
实际应用中,一般人都不会找CA去签名,因为那是收钱的,所以可以自己做一个自签名的证书文件,就是自己生成一对密钥,然后再用自己生成的另外一对密钥对这对密钥进行签名,这个只用于真正需要签名证书的人,普通的加密解密数据,直接用公钥和私钥来做就可以了。
密钥文件的格式用OpenSSL生成的就只有PEM和DER两种格式,PEM的是将密钥用base64编码表示出来的,直接打开你能看到一串的英文字母,DER格式是二进制的密钥文件。X509是通用的证书文件格式定义。PKCS的一系列标准是指定的存放密钥的文件标准,PEM、DER、X509、PKCS这几种格式可以互相转化.
ubuntu14.04 linux x64
openssl 1.0.1f
1、将openssl.cnf配置文件拷贝到当前目录下并创建以下在配置文件中指定的子文件夹
mkdir demoCA
cd demoCA
index.txt为空,serial必须写入内容,且为字符串格式的数字(比如1000)
mkdir srl certs newcerts
touch index.txt serial
echo 1000 > serial
cd ..
sudo cp /usr/lib/ssl/openssl.cnf .
2、生成根证书
mkdir ca
a).生成根证书私钥(key文件)
openssl genrsa -aes256 -out ca/ca.key 2048
b).生成根证书签发申请文件(csr文件)
openssl req -new -key ca/ca.key -out ca/ca.csr -config ./openssl.cnf
c).自签发根证书(crt文件)
openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey ca/ca.key -in ca/ca.csr -out ca/ca.crt
3、用根证书签发server端证书
mkdir server
a).生成根证书私钥(key文件)
openssl genrsa -aes256 -out server/server.key 2048
b).生成根证书签发申请文件(csr文件)
openssl req -new -key server/server.key -out server/server.csr -config ./openssl.cnf
c).使用根证书签发服务端证书
openssl ca -in server/server.csr -out server/server.crt -cert ca/ca.crt -keyfile ca/ca.key -config ./openssl.cnf
c).将密钥和证书合并成一个文件
cp server/server.key server/server.pem
cat server/server.crt >> server/server.pem
mkdir client
openssl genrsa -aes256 -out client/client.key 2048
openssl req -new -key client/client.key -out client/client.csr -config ./openssl.cnf
openssl ca -in client/client.csr -out client/client.crt -cert ca/ca.crt -keyfile ca/ca.key -config ./openssl.cnf
cp client/client.key client/client.pem
cat client/client.crt >> client/client.pem
