一、SSL協議
現代信息流通中web佔了巨大的一部分,但是實際上web除了https協議支持的web服務器,信息對外都是透明的,現在流行的https全棧設計就是要擺脫信息泄漏的危險。傳統的服務如http都是成熟已久的服務,爲了減少不必要的麻煩,SSL(Secure Socket Layer)協議就應運而生了--在TCP/IP的應用層和網絡層之間添加協議SSL子層(如下圖),程序員調用協議子層協議實現數據加密和傳輸。
二、SSL協議會話會話過程
三、openssl基礎
單向加密:只能加密,不能解密。
工具:openssl dgest,mdsum,sha1sum,sha224sum等等
dgst命令:單向加密可以選定加密方法
openssl dgst -md5 /tmp/fstab MD5(/tmp/fstab)= 85301c14005a7d9eae19ddfc3475131d# md5sum /tmp/fstab 85301c14005a7d9eae19ddfc3475131d /tmp/fstab
公鑰加密:三種功能:加密解密,密鑰傳送,數字認證
1加密解密:
算法:RSA,ELGamal
工具:openssl,rsautl,gpg
2.數字簽名:
算法:RSA,DSA,ELGamal
工具:openssl,rsautl,gpg
3.密鑰交換:
算法:DH
生成密鑰:
生成私鑰:~]#(umask 077;openssl genrsa -out /PATH/TO/PRIVATE_KEY_FILE NUM_BITS )
提出公鑰:~]#openssl rsa -in /PATH/FROM/PRIVATE_KEY_FILE -pubout
# (umask 077;openssl genrsa -out /tmp/a.private 1024) Generating RSA private key, 1024 bit long modulus...........................................................++++++....................++++++e is 65537 (0x10001) # cat /tmp/a.pr -----BEGIN RSA PRIVATE KEY----- MIICXgIBAAKBgQC5cLbUjCv9MELyHAndxltipdmvvtnMem6E9JZ7ymifMnggFHwbcRO3q03S6pTbdDKaBnMRulw9OQdvCOexm3Ym9P1jNLM6vNgGnROyWxWUoXZWd/YRG4WP0Lo2yvTdzXkNAwFL9S0wZTKfsFI3FYtV/432XA5vuI3olwgG8IJWhwIDAQABAoGBAKFf/TsqYH2NKjUXQV7F53EJc08FfvP694KsduhzVGh1uyPvr7ERzl7frHIHwlLX49E2G50p2GtO3bE6xqZA66euq8W4TefCVmKZm2P3c2Aj6HuRhVyKkFdZ7bZSjYDtGYjksTlzmHzC8g6Wzs3B3AHifuNU8oazqxINPObz5hABAkEA7P9oSBfhu8wm42r95UFqxWlwSRaYHyWSN4KQyM6IIWzjGFTSt4+DX4AUDGc9PpoB4l2HcnRctdU/RHn/54DxhwJBAMhPC2NzmGtiG1XW0uYfCXjmqF+iU79zQ/ikfVJRoEfZN4jPdTurCFxssbyQSJYnWxZTtM+4eS6F7mlKUabgswECQQDYwfB6n30R6fJXZW+50k75JypPbp7LPe2xX3VUc7EGATTi+BGRWWzqV5X+kh3tt6Wph6luAQcaN2OaGYr4DXLZAkBwVfQbGC74uhJ+d3XbXLihNypiR9UT337VKNqnmeN7p9Q/Q6mJhwevXb3n9DrhCr1IrjUO8XP0pWPpZKaaIhYBAkEAja39oNrqbvmBbmaanMfACTkf9CTgpjbfau63lArey1e0QJRz8I4wOZA/EEm9twvvNyYnUiiDJbTIwuY7xHwTyA==-----END RSA PRIVATE KEY----- # openssl rsa -in /tmp/a.private -puboutwriting RSA key-----BEGIN PUBLIC KEY-----MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC5cLbUjCv9MELyHAndxltipdmvvtnMem6E9JZ7ymifMnggFHwbcRO3q03S6pTbdDKaBnMRulw9OQdvCOexm3Ym9P1jNLM6vNgGnROyWxWUoXZWd/YRG4WP0Lo2yvTdzXkNAwFL9S0wZTKfsFI3FYtV/432XA5vuI3olwgG8IJWhwIDAQAB -----END PUBLIC KEY-----
Linux系統上的隨機數生成器
/dev/random:僅從熵池返回隨機數;隨機數用盡,阻塞;
/dev/urandom:從熵池返回隨機數;隨機數用盡,會利用軟件生成僞隨機數,非阻塞;
僞隨機數不安全;
熵池中隨機數的來源:
硬盤IO中斷時間間隔;複製大文件到磁盤會有大量磁盤IO中斷
鍵盤IO中斷時間間隔;
五、 CA
CA分爲公共信任的CA,私有CA兩種,公有CA是外部機構建立的,申請即可,費用也不低。私有CA範圍有限,可以在公司內部建立,當然只能在公司內部使用,因爲你的證書別人並不認可,缺乏權威。
搭建私有CA:以下兩種實現
openssl
OpenCA:開源CA
這裏講解openssl搭建私有CA:
openssl命令:
openssl的配置文件:/etc/pki/tls/openssl.cnf ;其中部分配置定義了CA的配置。
[ca]段定義ca特性:ca怎麼管理ca,ca 工作環境
dir = /etc/pki/CA # Where everything is kept 工作目錄 certs = $dir/certs # Where the issued certs are kept 已經簽發的證書位置 crl_dir = $dir/crl # Where the issued crl are kept 吊銷證書列表 database = $dir/index.txt # database index file.各個已經頒發的證書索引,包含序列號 new_certs_dir = $dir/newcerts # default place for new certs.對應certs目錄中的證書的 SERIAL.crtserial = $dir/serial # 用於爲ca提供證書序列號存儲位置 certificate = $dir/cacert.pem # 指定CA 自簽證書 private_key = $dir/private/cakey.pem # The private key.CA自身私鑰 default_days = 365 # 默認的證書有效期
[req]段是request請求配置段,需要的認證單位個人向CA發出註冊簽署請求,這裏定義怎麼生成配置請求。
在確定配置爲CA的服務上生成一個自簽證書,併爲CA提供所需要的目錄及文件即可:
步驟:
(1)生成私鑰;
~]#(umask077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
(2)生成自簽證書;man req即可
~]#openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655 #命令自動抽取公鑰再生成req,在簽署過程中生成公鑰。證書申請填寫的是組織信息。
# openssl req -key -new -x509 /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650 You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:CN State or Province Name (full name) []:BeiJing Locality Name (eg, city) [Default City]:BeiJing Organization Name (eg, company) [Default Company Ltd]:MagEdu # 私建CA,那麼用於公司內部,就用公司名 Organizational Unit Name (eg, section) []:Ops Common Name (eg, your name or your server's hostname) []:ca.magedu.com #要服務器或主機名字 Email Address []:[email protected] # ls /etc/pki/CA/cacert.pem /etc/pki/CA/cacert.pem [root@centos7 ~]# ls /etc/pki/CA/cacert.pem -al -rw-r--r--. 1 root root 2065 4月 7 02:06 /etc/pki/CA/cacert.pem
-new:生成新證書籤署請求;
-x509:生成自籤格式證書,專用於創建私有CA時;不是自籤就不要加了,自動簽署證書;
-key:生成請求時用到的私有文件路徑;
-out:生成的請求csr文件路徑;如果自籤操作將直接生成簽署過的證書;
-days:證書的有效時長,單位是day;
(3)爲CA提供所需的目錄及文件;
~]#mkdir -pv /etc/pki/CA/{certs,crl,newcerts}
~]#touch /etc/pki/CA/{serial,index.txt} #序列號,數據庫文件
~]#echo 01 > /etc/pki/CA/serial # 給定一個需要起始號碼
請求籤署證書:要用到證書進行安全通信的服務器,需要向CA請求籤署證書;
步驟:(以httpd爲例,前三步驟在請求主機上做,第四步在CA主機上做)
(1)用到證書的主機生成私鑰;
~]#mkdir /etc/httpd/ssl
~]#cd /etc/httpd/ssl
~]#(umask 077;openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)#不要在CA配置目錄下創建,那是作爲CA主機並自建CA纔用到的路徑。
(2)生成證書籤署請求
~]#openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr -days 365 # 不要寫-x509
(3)將請求通過可靠方式發送給CA主機;
(4)在CA主機上籤署證書;
~]#openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
~]#cat /etc/pki/CA/index.txt
#cat /etc/pki/CA/index.txt V 170105083250Z 01 unknown /C=CN/ST=Beijing/U=Magedu/OU=Ops/CN=www.magedu/[email protected]
主識標標:
/C=CN/ST=Beijing/U=Magedu/OU=Ops/CN=www.magedu/emailaddress[email protected]
查看證書中的信息:
~]#openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -serial -subject # 只顯示serial subject
吊銷證書:
步驟:
(1)客戶端獲取要吊銷的證書的serial(在使用證書的主機執行):
~]#openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -serial -subject
(2)在CA主機吊銷證書
先根據客戶提交的serial和subject信息,對比其與本機數據庫index.txt中存儲的是否一致;
如果一致,那麼吊銷:
#openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem,其中的SERIAL要換成證書真正的簽署序列號;
(3)生成吊銷證書的吊銷編號(第一次吊銷證書時執行)
#echo 01 > /etc/pki/CA/crlnumber # 吊銷序列號
(4)更新證書吊銷列表
#openssl ca -gencrl -out /etc/pki/CA/CA_NAME.crl
查看crl文件:
#openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text