openssl詳解及實現https
OpenSSL 是一個安全套接字層密碼庫,囊括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協議,並提供豐富的應用程序供測試或其它目的使用。
祕鑰算法和協議:
對稱加密:
加密和解密使用同一個密鑰,原始數據分成固定大小塊,算法不同
祕鑰過多,祕鑰分發困難
DES,3DES AES Blowfish Twofish IDEA RC6 CAST5公鑰加密:
分公鑰與私鑰
公鑰:從私鑰中提取產生,可公開給所有人;pubkey
私鑰:通過工具創建,使用者自己留存保證其私密性;secret key
數字簽名:(私鑰加密的特徵碼)接受方確認發送方身份
祕要交換:發送方用對方公鑰加密一個對稱祕鑰 發送給對方
數據加密:不常用公鑰進行數據加密 慢,RSA,DSA發送方:
接收方:
用自己的私鑰解密對稱祕鑰
用對稱祕鑰解密整段數據–保密性
用發送方的公鑰解密特徵碼–驗證發送方身份
計算特徵碼與接收的特徵碼作比較–保證數據完整性
可能出現中間人。要可靠的拿到對方公鑰:CA
計算數據的特徵碼
用自己的私鑰加密這段特徵碼
生成臨時對稱祕鑰(一次性),用其加密整段數據(包括加密的特徵碼)
用接收方的公鑰加密臨時對稱祕鑰附加在數據後
祕要交換:公鑰交換
DH:利用 已知大質數的高次方的結果 反求次方極難
協商生成p,g 本機生成x,將 p^x%g 的結果發送
接收方本機生成y 求 (p^x%g)^y 對方 (p^y%g)x 結果相同
RSA ECDH ECDHE
PKI: Public Key Infrastructure
簽證機構:CA(Certificate Authority)
註冊機構:RA
證書吊銷列表:CRL
證書存取庫:
X.509:定義了證書的結構以及認證協議標準
版本號
序列號
簽名算法
頒發者
有效期限
主體名稱
主體公鑰
CRL分發點
擴展信息
發行者簽名
SSL: Secure Socket Layer
TLS: Transport Layer Security
數據保密性
數據完整性
安全驗證
OpenSSL:開源項目,三個組件
openssl: 多用途的命令行工具
libcrypto: 加密算法庫
libssl:加密模塊應用庫,實現了ssl及tls
# openssl
標準命令,消息摘要命令,加密命令
openssl enc
-e:加密
-d:解密
-a:文本編碼格式
-salt:鹽
-in:要處理的文件
-out:要輸出的文件
]# openssl enc -e -rc4 -a -salt -in fstab -out fstab.en 加密
單向加密:計算特徵碼
openssl dgst - FILE
md2 md4 md5 rmd160 sha sha1
]# md5sum FILE
]# openssl dgst -md5 FILE md5加密
生成用戶密碼:
openssl passwd -1 -salt SALT
生成隨機數:
openssl rand [base64|hex] #
base64:
hex:16進制編碼
#:長度
]# openssl rand -base64 10 使用時去掉尾部兩個“==”
GyA/hYBNH20RAQ==
https:http+openssl
環境:
Web:CentOS 6.8,10.1.235.6
CA:CentOS 7,10.1.235.7
關閉防火牆及selinux
CentOS 7,10.1.235.7:
建立私有CA:
生成私鑰:指定位置
]# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
生成字簽證書:
]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
-new:生成新證書籤署請求
-x509:生成自籤格式證書,用於創建私有CA,其它情況不加
-key:生成請求時用到的私鑰路徑
-out:生成的請求文件路徑,若自籤操作將直接生成簽署過的證書
-days:證書的有效時長
...
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:Class
Organizational Unit Name (eg, section) []:Ops
Common Name (eg, your name or your server's hostname) []:www.zjj.com
Email Address []:
創建所需文件:
]# touch /etc/pki/CA/{serial,index.txt}
]# echo 01 > /etc/pki/CA/serial
CentOS 6.8,10.1.235.6:
安裝配置http服務:
安裝http及mod_ssl模塊
]# yum install httpd mod_ssl
]# vi /etc/httpd/conf/httpd.conf
#ServerName www.example.com:80
取消註釋更改 ServerName www.zjj.com:80
DocumentRoot "/var/www/html"
註釋該行 #DocumentRoot "/var/www/html"
保存退出
生成證書請求:
]# mkdir /etc/httpd/ssl
]# cd /etc/httpd/ssl
生成私鑰:
]# (umask 077;openssl genrsa -out httpd.key 2048)
生成證書請求:
]# openssl req -new -key httpd.key -out httpd.csr
...填入相關內容
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:Class
Organizational Unit Name (eg, section) []:Ops
Common Name (eg, your name or your server's hostname) []:www.eva.com
Email Address []:
...
將請求發送至CA主機:
]# scp ../ssl/httpd.csr 10.1.235.7:/
在CA主機上籤署:CentOS 7,10.1.235.54
]# openssl ca -in httpd.csr -out httpd.crt -days 365
將證書發送至Web主機
]# scp httpd.crt 10.1.235.6:/etc/httpd/ssl
Web主機配置ssl,找到以下兩行,更改對應的證書及私鑰文件:
]# vi /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/httpd/ssl/httpd.crt
SSLCertificateKeyFile /etc/httpd/ssl/httpd.key
在虛擬主機標籤內添加:
Documentroot /virtual
<Directory /virtual>
Options None
AllowOverRide None
</Directory>
]# mkdir /vitual
]# vi /virtual/index.html 創建首頁文件
<center>https from 10.1.235.6</center>
測試:
在/etc/hosts文件中添加一條域名解析
10.1.235.6 www.eva.com
可以在Cent 7上指定證書訪問:未指定證書訪問https會報錯
]# curl --cacert /etc/pki/CA/cacert.pem https://www.eva.com
<center>https from 10.1.235.6</center>
windows中可以將證書導入爲受信任的根證書