圖解SSL和加密解密

原創 火柴哈哈 2019-07-18 14:25

1.SSL原理

    Secure Sockets Layer(安全的套接字層)位於TCP/IP協議與各種應用層協議之間,爲數據通訊提供安全支持。用於保障在Internet上數據傳輸之安全,利用數據加密技術,可確保數據在網絡上之傳輸過程中不會被截取及竊聽。



2.SSL的會話過程

            SSL會話主要分爲三步:

                    1.客戶端向服務器端索要並驗正證書;

                    2.雙方協商生成“會話密鑰”;對成密鑰

                                    3.雙方採用“會話密鑰”進行加密通信;

wKioL1cGUbjQZyizAAHJ_gSatco560.png




3.加密算法和協議


wKiom1cGVfKAY_0HAAEvWb3_BB4884.png


3.1 對稱加密

    加密和解密使用同一個密鑰

常見的加密算法:

    DES、3DES、AES、Blowfish、Twofish、IDEA、RC6、CAST5

特性:

    1、加密、解密使用同一個密鑰;

    2、將原始數據分割成爲固定大小的塊,逐個進行加密;

缺陷:

    1、密鑰過多;

    2、密鑰分發困難;


3.2 公鑰加密

            密鑰分爲公鑰與私鑰

公鑰:從私鑰中提取產生;可公開給所有人;

私鑰:通過工具創建,使用者自己留存,必須保證其私密性;


特點:用公鑰加密的數據,只能使用與之配對兒的私鑰解密;反之亦然

用途:

數字簽名:主要在於讓接收方確認發送方的身份;

密鑰交換:發送方用對方公鑰加密一個對稱密鑰,併發送給對方;

數據加密:


3.3  單向加密

    提取數據指紋(特徵碼);只能加密,不能解密;

常見算法:md5、sha1

特性:定長輸出、雪崩效應;

功能:完整性;


3.4 密鑰交換

    IKE(Internet Key Exchange互聯網密鑰交換)

1.公鑰加密

2.DH(Deffie-Hellman地獄男爵)



4.PKI

    PKI是Public Key Infrastructure的首字母縮寫,翻譯過來就是公鑰基礎設施;PKI是一種遵循標準的利用公鑰加密技術爲電子商務的開展提供一套安全基礎平臺的技術和規範


公鑰基礎設施主要包含以下四個:

簽證機構:CA

註冊機構:RA

證書吊銷列表:CRL

證書存取庫



5.openssl命令


openssl有衆多子命令,基本可分爲三類:

            1.標準命令

            2.消息摘要命令(dgst子命令)

            3.加密命令(enc子命令)

5.1 對稱加密

加密:~]# openssl enc -e -des3 -a -salt -in fstab -out fstab.ciphertext
解密:~]# openssl enc -d -des3 -a -salt -out fstab -in fstab.ciphertext

5.2 單向加密

        ~]# openssl dgst -md5 /PATH/TO/SOMEFILE

5.3 生成用戶密碼

         ~]# openssl passwd -1 -salt $(openssl rand -hex 5)

5.4 生成隨機數

        ~]# openssl rand -hex NUM    
        ~]# openssl rand -base64 NUM

5.5 公鑰加密

生成私鑰:~]# (umask 077; openssl genrsa -out /PATH/TO/PRIVATE_KEY_FILE NUM_BITS)
提取公鑰:~]# openssl rsa -in /PATH/FROM/PRIVATE_KEY_FILE -pubout



6.構建私有CA


1.在CA的服務器上生成私鑰

[root@ch sysroot]# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)

2.生成自簽證書

[root@ch sysroot]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:CH
Organizational Unit Name (eg, section) []:Ops
Common Name (eg, your name or your server's hostname) []:ch
Email Address []:

3.爲CA提供所需的目錄及文件

[root@ch sysroot]# mkdir  -pv  /etc/pki/CA/{certs,crl,newcerts}
[root@ch sysroot]# touch  /etc/pki/CA/{serial,index.txt}
[root@ch sysroot]# echo  01 > /etc/pki/CA/serial

以上步驟是在CA服務器端操作



http服務器向CA請求籤署證書


a.主機生成私鑰

[root@localhost ~]# mkdir /etc/httpd/ssl
[root@localhost ~]# cd /etc/httpd/ssl
[root@localhost ssl]# (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 1028)

b.生成證書籤署請求

[root@localhost ssl]# openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr -days 365

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:CH
Organizational Unit Name (eg, section) []:Ops
Common Name (eg, your name or your server's hostname) []:www.test.com   
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

c.將請求通過可靠方式發送給CA服務器

[root@localhost ssl]# scp httpd.csr [email protected]:/tmp/


以上操作是在http服務器端操作


4.在CA主機上籤署證書

[root@ch tmp]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Mar 26 04:17:02 2016 GMT
            Not After : Mar 26 04:17:02 2017 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = Beijing
            organizationName          = CH
            organizationalUnitName    = Ops
            commonName                = www.test.com

Certificate is to be certified until Mar 26 04:17:02 2017 GMT (365 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n] y
Write out database with 1 new entries
Data Base Updated


5.查看證書中的信息

[root@ch tmp]# openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -serial -subject
serial=01
subject= /C=CN/ST=Beijing/O=CH/OU=Ops/CN=www.test.com



如果http服務的私鑰丟了,這個時候我們需要吊銷證書


(a).客戶端獲取要吊銷的證書的serial

[root@localhost ssl]# openssl  x509  -in /etc/pki/CA/certs/httpd.crt  -noout  -serial  -subject
serial=01
subject= /C=CN/ST=Beijing/O=CH/OU=Ops/CN=CH


(2).CA服務器根據客戶提交的serial和subject信息,對比其與本機數據庫index.txt中存儲的是否一致

[root@ch tmp]# cd /etc/pki/CA/
[root@ch CA]# cat index.txt
V	170326041702Z	01	unknown	/C=CN/ST=Beijing/O=CH/OU=Ops/CN=www.test.com


(3).CA服務器吊銷證書

[root@ch CA]# openssl ca -revoke /etc/pki/CA/newcerts/01.pem
Using configuration from /etc/pki/tls/openssl.cnf
Revoking Certificate 01.
Data Base Updated


(4).生成吊銷證書的吊銷編號(僅在第一次吊銷證書時執行)

[root@ch CA]#  echo  01  > /etc/pki/CA/crlnumber


(5).更新證書吊銷列表

[root@ch CA]# openssl ca -gencrl -out /etc/pki/CA/httpd.crl


查看crl文件

[root@ch CA]# openssl crl -in httpd.crl -noout  -text
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

SaaS 模式雲數據倉庫 MaxCompute 數據安全最佳實踐

本文作者 阿里雲智能 項目管理專家 王璀 什麼是 MaxCompute? MaxCompute 是一款雲原生、高效能的SaaS模式企業級數據倉庫服務,被廣泛用於構建現代化企業數據平臺,開展BI分析、數據化運營、畫像及推薦、智能預測等應用場景

雲棲號資訊小編 2020-08-07 11:58:54

探索區塊鏈在製造業中的應用

雲棲號資訊:【點擊查看更多行業資訊】在這裏您可以找到不同行業的第一手的上雲資訊,還在等什麼,快來! 區塊鏈可以在製造業的許多方面發揮重要作用。自動化設備配件供應商EU Automation公司美洲地區銷售總監Claudia Jarrett對

雲棲號資訊小哥 2020-08-05 13:49:49

CS2.0 中若自動登錄無效的解決辦法

參考 Url: http://communityserver.org/forums/thread/483092.aspx 是MachineKey的問題, 在Web.config中修改即可 在Msdn上對MachineKey的解釋是加密與解

pigmaster 2020-07-08 07:42:01

Blowfish for IOS

最近項目需求研究了一下blowfish的算法,發現網上都沒有現成的,有一個還是一個坑,三天,都在弄這個,最後還是功夫不負有心人,弄好了,現在我就總結一下吧。 一、算法種類 對稱加密,不對稱加密,不可逆加密 二、常見的算法 AES,

FshyManMan 2020-07-08 04:31:17

密碼和Java中的加解密之MD5加點鹽

    很多人都用MD5+Base64方式存儲密碼,這種存儲方式 方便、速度快而且由於MD5雜湊算法的幾乎不可還原性,攻擊者只能通過"猜"去破解密碼。 但是MD5對相同的數據返回的信息永遠是一樣的,"123456"通過MD5+Bas

AFer198215 2020-07-07 22:05:49

mysql8.0版本移除了PASSWORD函數

mysql8.0 版本再用password函數就會報錯:You have an error in your SQL syntax; check the manual that corresponds to your MySQL serve

hufangzhou_hfz 2020-07-07 21:32:00

訪問加密過的Access之怪現象

前日朋友要求我給他做一個小軟件,用於打印送貨單,我用的是Access 97做數據庫,一直沒有密碼,也很正常的使用,昨天突發奇想,要加個密碼,後來又因故取消了密碼,結果問題就出來了,訪問數據庫的時候,一直提示找不到工作組文件,這個錯誤本來是

lovelyxc 2020-07-07 19:14:48

風雲變化2007年ERP市場盤點

作者:IT168 思維牧童  2007-12-05 內容導航: 外部服務安全問題 第1頁: 外部服務安全問題 第2頁: 二、XML文件攜帶攻擊代碼 第3頁: 三、身份驗證問題 <script type="text/javas

xinxihua 2020-07-07 17:45:33

openssl實現des cbc加密

//參考 https://www.cnblogs.com/azbane/p/10179660.html QByteArray ZYB::Openssl::DES_CBC(const QByteArray &keyStr, const Q

訫悦 2020-07-07 10:29:15

PHP中的加密方式

MD5加密 string md5 ( string $str [, bool $raw_output = false ] ) 參數 str – 原始字符串。 raw_output – 如果可選的 raw_output 被設置爲

lwc863481702 2020-07-07 10:11:06

IBM openblockchain學習(四)--crypto源碼分析

crypto是blockchain中加密技術功能的實現,其中包括了橢圓曲線加密和SHA256等加密算法等,接下來將對其核心部分進行解析。 elliptic 返回加密層中使用的默認橢圓曲線 func GetDefaultCurve

Star先生 2020-07-07 06:56:35

數據加密Entryption

AndroidH13-Entryption 數據加密 一、MD5 加密(不可逆的) 1 . 簡介: 不管是MD2 、MD4 還是MD5 ,它們都需要獲得一個隨機長度的信息併產生一個1 2 8 位的信息摘要。雖然這些算法的結構或多或少有些

JourneyX 2020-07-07 06:55:33

使用 AES 對稱加密算法對視頻文件進行加密解密(C++ 及 Java 實現)

因爲項目需要,最近學習了一下 AES 加密算法,並分別用 C++ 和 Java 實現了這個算法。用 Java 實現是因爲在 Android 項目上,需要對視頻文件進行 AES 加密解密,用 C++ 實現是因爲服務器需要對被加密過的視頻進行

Storm-Shadow 2020-07-07 06:46:16

java中常見的加密算法

1. MD5加密,常用於加密用戶名密碼,當用戶驗證時。 protected byte[] encrypt(byte[] obj) ...{   try ...{     MessageDigest md5 = MessageDig

xinxin_blog 2020-07-07 04:13:40

4個終於被破解的世界密碼

4個終於被破譯的世界級密碼 嚴酷的魔王 2012-02-02 20:16:01 歷史上誕生了不少千奇百怪的詭異密碼。這些被密碼有的至今仍未被破譯,有的經過各路高手不懈努力,終於被解開。死理性派今天就講述了4個終於破譯了的超難密碼,

anddy926 2020-07-07 02:37:27