摘要: 1.采用自定义配置文件的实现方法 1.1 自建CA 自建CA的机制:1.生成私钥;2.创建证书请求;3.使用私钥对证书请求签名。 由于测试环境,所以自建的CA只能是根CA。 所使用的配置文件如下: (1).创建openssl的目录结构 (a).创建配置文件 (b).创建openssl的目录结构中的目 阅读全文
posted @ 2018-10-03 17:15 苦咖啡~~ 阅读(487) 评论(0) 推荐(0) 编辑
摘要: 主要用于输出证书信息,也能够签署证书请求文件、自签署、转换证书格式等。 openssl x509工具不会使用openssl配置文件中的设定,而是完全需要自行设定或者使用该伪命令的默认值,它就像是一个完整的小型的CA工具箱。 选项非常多,所以分段解释。 输出证书某些信息的时候,可以配合"-noout" 阅读全文
posted @ 2018-10-03 16:38 苦咖啡~~ 阅读(352) 评论(0) 推荐(0) 编辑
摘要: 用于签署证书请求、生成吊销列表CRL以及维护已颁发证书列表和这些证书状态的数据库。因为一般人无需管理crl,所以本文只介绍openssl ca关于证书管理方面的功能。 证书请求文件使用CA的私钥签署之后就是证书,签署之后将证书发给申请者就是颁发证书。 在签署时,为了保证证书的完整性和一致性,还应该对 阅读全文
posted @ 2018-10-03 16:18 苦咖啡~~ 阅读(874) 评论(0) 推荐(0) 编辑
摘要: 1.man config 该帮助文档说明了openssl.cnf以及一些其他辅助配置文件的规范、格式及读取方式。后文中的所有解释除非特别指明,都将以openssl.cnf为例。 配置文件openssl.cnf中分成了多个段落,每个段落都使用中括号包围的方式"[section_name]"来标识。se 阅读全文
posted @ 2018-10-03 15:12 苦咖啡~~ 阅读(806) 评论(0) 推荐(0) 编辑
摘要: 伪命令req大致有3个功能:生成证书请求文件、验证证书请求文件和创建根CA。 由于openssl req命令选项较多,所以先各举几个例子,再集中给出openssl req的选项说明。若已熟悉openssl req和证书请求相关知识,可直接跳至后文,若不熟悉,建议从前向后一步一步阅读。 首先说明下生成 阅读全文
posted @ 2018-10-03 12:14 苦咖啡~~ 阅读(1813) 评论(0) 推荐(0) 编辑
摘要: openssl dhparam用于生成和管理dh文件。dh(Diffie-Hellman)是著名的密钥交换协议,或称为密钥协商协议,它可以保证通信双方安全地交换密钥。 但注意,它不是加密算法,所以不提供加密功能,仅仅只是保护密钥交换的过程。在openvpn中就使用了该交换协议。关于dh算法的整个过程 阅读全文
posted @ 2018-10-03 11:30 苦咖啡~~ 阅读(678) 评论(0) 推荐(0) 编辑
摘要: 对称加密工具,了解对称加密的原理后就很简单了,原理部分见下文。 openssl enc -ciphername [-in filename] [-out filename] [-pass arg] [-e] [-d] [-a/-base64] [-k password] [-S salt] [-sa 阅读全文
posted @ 2018-10-03 11:20 苦咖啡~~ 阅读(997) 评论(0) 推荐(0) 编辑
摘要: rsautl是rsa的工具,相当于rsa、dgst的部分功能集合,可用于生成数字签名、验证数字签名、加密和解密文件。 pkeyutl是非对称加密的通用工具,大体上和rsautl的用法差不多,所以此处只解释rsautl。 rsautl命令的用法和rsa、dgst不太一样: 首先,它的前提是已经有非对称 阅读全文
posted @ 2018-10-03 10:54 苦咖啡~~ 阅读(1366) 评论(0) 推荐(0) 编辑
摘要: 该伪命令是单向加密工具,用于生成文件的摘要信息 也可以进行数字签名,及验证数字签名。 首先要明白的是,数字签名的过程是计算出摘要信息,然后使用私钥对摘要信息进行加密得到数字签名,而摘要是使用md5、sha512等单向散列算法计算得出的(而通过私钥加密摘要信息得到数字签名),理解了这一点,openss 阅读全文
posted @ 2018-10-03 01:23 苦咖啡~~ 阅读(1791) 评论(0) 推荐(0) 编辑
摘要: 该伪命令用于生成加密的密码 [root@docker121 ssl]# man -f passwd passwd (1) - update user's authentication tokens passwd (5) - password file passwd [sslpasswd] (1ssl 阅读全文
posted @ 2018-10-03 01:06 苦咖啡~~ 阅读(9082) 评论(0) 推荐(0) 编辑
摘要: 1.1 openssl speed 测试加密算法的性能 支持的算法有: openssl speed [md2] [mdc2] [md5] [hmac] [sha1] [rmd160] [idea-cbc] [rc2-cbc] [rc5-cbc] [bf-cbc] [des-cbc] [des-ede 阅读全文
posted @ 2018-10-03 00:55 苦咖啡~~ 阅读(2838) 评论(0) 推荐(1) 编辑
摘要: openssl rsa 是RSA对称密钥的处理工具 openssl pkey 是通用非对称密钥处理工具,它们用法基本一致,所以只举例说明openssl rsa。 它们的用法很简单,基本上就是输入和输出私钥或公钥的作用,或从私钥中提取出公钥,将文件中私钥或公钥的某部分内容输出到stdout opens 阅读全文
posted @ 2018-10-03 00:36 苦咖啡~~ 阅读(32852) 评论(0) 推荐(2) 编辑
摘要: genrsa用于生成RSA私钥,不会生成公钥,因为公钥提取自私钥,如果需要查看公钥或生成公钥,可以使用openssl rsa命令。 使用man genrsa查询其用法。 openssl genrsa [-out filename] [-passout arg] [-des] [-des3] [-id 阅读全文
posted @ 2018-10-03 00:25 苦咖啡~~ 阅读(1887) 评论(0) 推荐(0) 编辑
摘要: openssl命令的格式是"openssl command command-options args",command部分有很多种命令,这些命令需要依赖于openssl命令才能执行,所以称为伪命令(pseudo-command),每个伪命令都有各自的功能,大部分command都可以直接man com 阅读全文
posted @ 2018-10-03 00:11 苦咖啡~~ 阅读(971) 评论(0) 推荐(0) 编辑
摘要: 1.1 背景知识 对称加密 :加密解密使用同一密钥,加解密速度快。随着人数增多,密钥数量急增n(n-1)/2。 非对称加密 :使用公私钥配对加解密,速度慢。公钥是从私钥中提取出来的,一般拿对方公钥加密来保证数据安全性,拿自己的私钥加密来证明数据来源的身份。 单向加密 :不算是加密,也常称为散列运算, 阅读全文
posted @ 2018-10-03 00:02 苦咖啡~~ 阅读(602) 评论(0) 推荐(0) 编辑