加密的分類:
對稱加密:
機制:
加密方使用一個公開的算法對一段數據和特定的口令進行統一加密,解密方使用口令+算法反向解密;
算法:DES,3DES,AES,BlowFish等;
優勢:
當對大量的數據進行加密時速度很快;
缺陷:
密鑰(口令)的交換;
雙方的身份認證;
數據的完整性;
2.非對稱加密:
機制:
加密解密雙方同時生成一對公鑰和私鑰,在加密過程中使用自己的私鑰對要傳遞的信息進行加密,而對方使用發送方的公鑰進行解密,也就是說,生成的公鑰是公開的,而私鑰是絕對不能外泄的;
算法:
RSA,DSA
優勢:
能夠實現雙方的身份驗證;
與對稱加密配合使用可以保證對稱加密口令的傳輸可靠性;
缺陷:
加密速度慢,一般不用過來對數據本身進行加密;
3.單向機密:
機制:
對數據進行特定的算法以生成一段特徵碼;
算法:
md5,sha1
優勢:
雪崩效應:原數據的微小改變,都會造成特徵碼的大幅變化;
保證數據完整性;
缺陷:
無法保證傳輸的安全性;
雙方身份無法驗證;
由此完整的信息加密傳輸方式的過程爲:
數據-->單向加密:抽取特徵碼,保證數據的完整性;-->非對稱加密:對特徵碼使用自己的私鑰進行加密,來保證身份的可靠性;-->對稱加密:對原數據和已經使用加密者私鑰加密的特徵碼使用對稱加密保證數據的私密性;-->非對稱加密:使用解密方的公鑰對對稱加密產生的口令進行加密,保證數據傳輸的可靠性;-->傳輸加密後的數據,完成數據傳輸;
實現簡單的pki基礎設施:
使用工具:
openssl:可以用來進行數據的加密,解密,證書的自籤,簽發等功能的工具;
genrsa:用來生成自身的私鑰,實際上會同時生成公鑰,但並沒有爲public創建文件;
用法:openssl genrsa -out /some/path/privateName.pem
rsa:可以用來查看公鑰,或者將公鑰生成文件;
用法:openssl rsa -text -in /some/path/privateName.pem -pubout //查看公鑰;
openssl rsa -text -in /some/path/privateName.pem -pubout -out /some/path/publicName.pem //將公鑰生成文件;
req:自籤或生成申請證書;
用法:openssl req -x509 -new -key /some/path/privateName.pem -out /some/path/certName.pem //自簽證書;
openssl req -new -key /some/path/privateName.pem -out /some/path/FileName.csr //生成申請表;
ca:簽署證書;
用法:openssl ca -in /some/path/FileName.csr -out /some/path/FileName.crt -days 30 //簽署證書期限爲30天;
openssl ca -revoke /path/to/somefile.crt //吊銷證書;
# scp Httpd.csr(需要傳輸的文件) 192.168.0.166(目標地址):/tmp/(目標路徑) ;scp是一個傳輸工具
創建申請表的格式:
國家: //CN,US,EN之類;
省份:
城市:
組織或公司:
部門:
服務器名: //要與被訪問的主機名相同;
管理郵件地址: