内容简介:SSL: Secure Socket LayerTLS: Transport Layer Security握手阶段(协商阶段):客户端和服务器端认证对方身份(依赖于PKI体系,利用数字证书进行身份认证),并协商通信中使用的安全参数、密码套件以及主密钥。后续通信使用的所有密钥都是通过MasterSecret生成。
一、安全协议
SSL: Secure Socket Layer 安全套阶层协议
TLS: Transport Layer Security 安全 传输 层 协议,SSL改名TLS,一个东西,可通称
1995:SSL 2.0 Netscape 1.0不普及 1996: SSL 3.0 1999: TLS 1.0 2006: TLS 1.1 IETF(Internet工程任务组) RFC 4346 2008:TLS 1.2 当前使用 最普遍 2015: TLS 1.3
- 功能:机密性,认证,完整性,重放保护 (防重放,第一次有效第二次失效)
- 两阶段协议,分为握手阶段和应用阶段
握手阶段(协商阶段):客户端和服务器端认证对方身份(依赖于PKI体系,利用数字证书进行身份认证),并协商通信中使用的安全参数、密码套件以及主密钥。后续通信使用的所有密钥都是通过MasterSecret生成。
应用阶段:在握手阶段完成后进入,在应用阶段通信双方使用握手阶段协商好的密钥进行安全通信
SSL/TLS
Handshake协议:包括协商安全参数和密码套件、服务器身份认证(客户端身份认证可选)、密钥交换
ChangeCipherSpec 协议:一条消息表明握手协议已经完成
Alert 协议:对握手协议中一些异常的错误提醒,分为fatal和warning两个级别,fatal类型错误会直接中断SSL链接,而warning级别的错误SSL链接仍可继续,只是会给出错误警告
Record 协议:包括对消息的分段、压缩、消息认证和完整性保护、加密等
HTTPS 协议:就是“ HTTP 协议 ”和“ SSL/TLS 协议 ”的组合。HTTP over SSL”或“HTTP over TLS”,对http协议的文本数据进行加密处理后,成为二进制形式传输 用的最多
二、SSL协议的开源实现:OpenSSL
三个组件:
openssl: 多用途的命令行工具,包openssl libcrypto: 加密算法库,包openssl-libs libssl:加密模块应用库,实现了ssl及tls,包nss
openssl命令:
两种运行模式: 交互模式 和 批处理模式
openssl version:程序版本号
命令大致分为三类:
标准命令:子命令 enc, ca, req, …
消息摘要命令:子命令 dgst …
加密命令:子命令 enc …
查看更多子命令 openssl ?
1、对称加密:
工具:openssl enc, gpg
算法:3des, aes, blowfish, twofish
enc命令:
帮助: man enc
加密: openssl enc -e -des3 -a -salt -in testfile -out testfile.cipher
解密: openssl enc -d -des3 -a -salt -in testfile.cipher -out testfile 生成新文件
-e 表示加密
-d 表示解密
-in /PATH/TO/FILE 要加密的文件
-out /PATH/TO/FILE 加密后生成新文件;不加这个选项就只有标准输出,不生成文件
-pass STRING 表示对称加密的秘钥是什么
-a|-base64 表示以base64文本格式进行编码 (大小写字母 / 及 + 的表现形式,不够六位用=补足)
-salt 加杂质使乱码
2、单向加密:
工具:md5sum,sha1sum,sha224sum,sha256sum…
openssl dgst
dgst命令:
帮助: man dgst
openssl dgst -md5 [-hex默认] /PATH/SOMEFILE
openssl dgst -md5 testfile
md5sum testfile 结果同上,格式不一样
生成用户密码: passwd命令
帮助: man sslpasswd
openssl passwd -1 不指定salt,则随机生成
openssl passwd -1 -salt SALT(最多8位) 指定salt
openssl passwd -1 –salt centos 指定盐,则同样的密码加密后生成同样的字符串
生成随机数: rand命令
帮助: man sslrand
openssl rand -base64|-hex NUM
NUM: 表示字节数;-hex时,每个字符为十六进制,相当于4位二进制,出现的字符数为 NUM*2
注:-base64 二进制的六位,指定数字NUM若不是3的倍数,会用=补足
如下图:
随机数生成器:伪随机数字
键盘和鼠标,块设备中断
/dev/random:仅从熵池返回随机数;随机数用尽,阻塞
/dev/urandom:从熵池返回随机数;随机数用尽,会利用软件生成伪随机数,非阻塞
3、生成密钥对
生成密钥对儿: man genrsa
生成私钥
openssl genrsa -out /PATH/TO/PRIVATEKEY.FILE NUM_BITS
或 (umask 077; openssl genrsa -out test.key -des 2048)
生成私钥文件,并设定权限及加密私钥,小括号开启子进程,不改变父进程的umask值
将加密key解密并生成文件
openssl rsa -in test.key -out test2.key
从私钥中提取出公钥
openssl rsa -in PRIVATEKEYFILE –pubout –out PUBLICKEYFILE
例:openssl rsa –in test.key –pubout –out test.key.pub
公钥加密:
算法:RSA, ELGamal
工具:gpg,openssl rsautl( man rsautl )
数字签名:
算法:RSA, DSA, ELGamal
密钥交换:
算法:dh
DSA: Digital Signature Algorithm
DSS:Digital Signature Standard
RSA:
三、创建CA和申请证书
创建私有CA:
openssl的配置文件: /etc/pki/tls/openssl.cnf 其中定义了openssl完成CA工作时的相关属性定义
三种策略:
匹配match:要求申请填写的信息跟CA设置信息 必须一致
支持supplied:必须填写这项申请信息
可选optional:可有可无
1、创建所需要的文件 (服务器端) 掌握!!!
touch /etc/pki/CA/index.txt 生成证书索引数据库文件,内容可为空, 但必须有 ,否则会报错
echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号 没有会报错,十六进制数
2、 CA自签证书 (服务器端) 掌握!!!
生成私钥
cd /etc/pki/CA/ 后续创建的文件夹和目录都要求在此目录下
(umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048) 目录及文件名定死了
生成自签名证书
openssl req -new -x509 – key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
-x509表示自签名,没有表示申请,签名证书路径名称定死 交互式命令
直接cat /etc/pki/CA/cacert.pem base64编码看不懂
-new:生成新证书签署请求
-x509:专用于CA生成自签证书
-key:生成请求时用到的私钥文件
-days n:证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径
3、颁发证书 掌握!!!
在需要使用证书的主机生成证书请求
给web服务器生成私钥 (客户端)
(umask 066; openssl genrsa -out /etc/pki/tls/private/ test.key 2048) 路径和名字没规定
生成证书申请文件 (客户端)
openssl req -new -key /etc/pki/tls/private/test.key -out / etc/pki/tls/test.csr 交互式命令
-days 365这里不写,有效期由颁发者决定
将证书请求文件传输给CA (客户端)
scp / etc/pki/tls/test.csr IP:/PATH/TO
CA签署证书,并将证书颁发给请求者 (服务器端)
openssl ca -in /tmp/test.csr – out /etc/pki/CA/certs/ test.crt -days 365 目录定死,有效期默认一年
注意:默认国家,省,公司名称三项必须和CA一致,若想不一致可以更改配置文件设定
查看证书中的信息: (服务器端)
openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|issuer|subject|serial|dates
参数:Text格式查看、单看颁发人、单看颁发对象、单看编号、单看有效期
查看指定编号的证书状态 (服务器端)
openssl ca -status SERIAL
补充: cat /etc/pki/CA/index.txt 查看所有证书 行首带V表示有效,吊销R
或者传入Windows电脑,改后缀为.crt或 .cer才会变证书图标,即可查看
安装证书:双击证书图标,安装过程中要出现安全警告才正确!在控制面板-Internet选项-内容查看
4、吊销证书 (了解)
在客户端获取要吊销的证书的serial
openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject
在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致,吊销证书:
openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
指定第一个吊销证书的编号,注意:第一次更新证书吊销列表前,才需要执行
echo 01 > /etc/pki/CA/crlnumber
更新证书吊销列表
openssl ca -gencrl -out /etc/pki/CA/crl.pem
查看crl文件:
openssl crl -in /etc/pki/CA/crl.pem -noout -text
本文来自投稿,不代表 Linux 运维部落立场,如若转载,请注明出处:http://www.178linux.com/99795
以上所述就是小编给大家介绍的《Linux安全和加解密(二)》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- APICloud解密本地资源到逆向APP算法到通用资源解密
- NodeJS加密解密,node-rsa加密解密用法
- CMSEasy企业建站源代码解密工具,适用于纯本地解密机制!
- 如何解密keystore文件
- 解密 Runloop
- 加解密详解
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Hatching Twitter
Nick Bilton / Portfolio Hardcover / 2013-11-5 / USD 28.95
The dramatic, unlikely story behind the founding of Twitter, by New York Times bestselling author and Vanity Fair special correspondent The San Francisco-based technology company Twitter has become......一起来看看 《Hatching Twitter》 这本书的介绍吧!