為您解碼網(wǎng)站建設(shè)的點(diǎn)點(diǎn)滴滴
發(fā)表日期:2017-09 文章編輯:小燈 瀏覽次數(shù):3675
簽證機(jī)構(gòu):CA(Certificate Authority)
注冊機(jī)構(gòu):RA
證書吊銷列表:CRL
證書存取庫:
X.509:定義了證書的結(jié)構(gòu)以及認(rèn)證協(xié)議標(biāo)準(zhǔn)
版本號序列號簽名算法頒發(fā)者有效期限
主體名稱主體公鑰CRL分發(fā)點(diǎn)擴(kuò)展信息發(fā)行者簽名
(1)證書類型:
證書授權(quán)機(jī)構(gòu)的證書
服務(wù)器
用戶證書
(2)獲取證書兩種方法:
? 使用證書授權(quán)機(jī)構(gòu)
生成簽名請求(csr)
將csr發(fā)送給CA
從CA處接收簽名
? 自簽名的證書
自已簽發(fā)自己的公鑰
TLS: Transport Layer Security
1995:SSL 2.0 Netscape 1996: SSL 3.0 1999: TLS 1.0 可以理解為SSL升級版 2006: TLS 1.1 IETF(Internet工程任務(wù)組) RFC 4346 2008:TLS 1.2 當(dāng)前使用 2015: TLS 1.3
功能:機(jī)密性,認(rèn)證,完整性,重放保護(hù)
兩階段協(xié)議,分為握手階段和應(yīng)用階段
握手階段(協(xié)商階段): 客戶端和服務(wù)器端認(rèn)證對方身份(依賴于PKI體系,利用數(shù)字證書進(jìn)行身份認(rèn)證),并協(xié)商通信 中使用的安全參數(shù)、密碼套件以及主密鑰。后續(xù)通信使用的所有密鑰都是通MasterSecret生成。
應(yīng)用階段: 在握手階段完成后進(jìn)入,在應(yīng)用階段通信雙方使用握手階段協(xié)商好的密鑰進(jìn)行安全通信
(1)Handshake協(xié)議:
包括協(xié)商安全參數(shù)和密碼套件、服務(wù)器身份認(rèn)證(客戶端身份認(rèn)證可選)密鑰交換
(2)ChangeCipherSpec 協(xié)議:
一條消息表明握手協(xié)議已經(jīng)完成
(3)Alert 協(xié)議:
對握手協(xié)議中一些異常的錯(cuò)誤提醒,分為fatal和warning兩個(gè)級別,fatal類型錯(cuò)誤會(huì)直接 中斷SSL鏈接,而warning級別的錯(cuò)誤SSL鏈接仍可繼續(xù),只是會(huì)給出錯(cuò)誤警告
(4)Record 協(xié)議:
包括對消息的分段、壓縮、消息認(rèn)證和完整性保護(hù)、加密等
(5)HTTPS 協(xié)議:
就是“HTTP 協(xié)議”和“SSL/TLS 協(xié)議”的組合。HTTP over SSL”或“HTTP over TLS”,對http 協(xié)議的文本數(shù)據(jù)進(jìn)行加密處理后,成為二進(jìn)制形式傳輸
(1)三個(gè)組件:
openssl: 多用途的命令行工具,包openssl
libcrypto: 加密算法庫,包openssl-libs
libssl:加密模塊應(yīng)用庫,實(shí)現(xiàn)了ssl及tls,包nss
(2)openssl命令:
兩種運(yùn)行模式:
交互模式和批處理模式
openssl version:程序版本號
標(biāo)準(zhǔn)命令、消息摘要命令、加密命令
標(biāo)準(zhǔn)命令:enc, ca, req, ...
Paste_Image.png
(3)公鑰加密:
算法:RSA, ELGamal
工具:gpg, openssl rsautl(man rsautl)
(4)數(shù)字簽名:
算法:RSA, DSA, ELGamal
(5)密鑰交換:
算法:dh,DSA,DSS,RSA
(6) 對稱加密:
工具:openssl enc, gpg
算法:3DES, AES, BLOWFISH,TWOFISH
6.enc命令(對稱加密)
(1)查看幫助:
man enc
(2)加密:
openssl enc -e -des3 -a -salt -in testfile -out testfile.cipher
Paste_Image.png-e加密 -des3就是對稱加密的一種 -a -salt加隨機(jī)數(shù) -in 要加密的文件 -out 加密后文件的名字
(3)解密:
openssl enc -d -des3 -a -salt –in testfile.cipher -out testfile
Paste_Image.png-d解密 -a -salt加隨機(jī)數(shù) -in要解密的文件 -out指定解密后文件的名稱
7.單向加密:即哈希加密
工具:
md5sum, sha1sum, sha224sum,sha256sum… openssl dgst
- dgst命令:
幫助:man dgst
openssl dgst -md5 [-hex默認(rèn)] /PATH/SOMEFILE
openssl dgst -md5 testfile
md5sum /PATH/TO/SOMEFILE
Paste_Image.png
MAC: Message Authentication Code,單向加密的一種延 伸應(yīng)用,用于實(shí)現(xiàn)網(wǎng)絡(luò)通信中保證所傳輸數(shù)據(jù)的完整性機(jī)制 CBC-MAC
HMAC:使用md5或sha1算法
8.生成用戶密碼:
(1)passwd命令:
幫助:man sslpasswd
openssl passwd -1 -salt SALT(最多8位)
openssl passwd -1 –salt centos(2) 生成隨機(jī)數(shù):
幫助:man sslrand
openssl rand -base64|-hex NUM
NUM: 表示字節(jié)數(shù);-hex時(shí),每個(gè)字符為十六進(jìn)制,相 當(dāng)于4位二進(jìn)制,出現(xiàn)的字符數(shù)為NUM*2
-base64-hex:編碼格式
Paste_Image.png9. 生成密鑰對兒:genrsa
man genrsa
(1)生成私鑰#openssl genrsa -out /PATH/TO/PRIVATEKEY.FILE NUM_BITS
#(umask 077; openssl genrsa –out test.key –des 2048)
Paste_Image.png為了保護(hù)秘鑰文件安全,一般要對秘鑰文件加權(quán)限,第一個(gè)可以用chmod加上去,第二個(gè)就把文件權(quán)限直接改為了600 -out 輸出秘鑰文件名稱 -des 對私鑰加口令,保護(hù)私鑰安全
(2)從私鑰中提取出公鑰
openssl rsa -in PRIVATEKEYFILE –pubout –out PUBLICKEYFILE
Openssl rsa –in test.key –pubout –out test.key.pub
Paste_Image.png10.隨機(jī)數(shù)生成器:偽隨機(jī)數(shù)字
鍵盤和鼠標(biāo)
塊設(shè)備中斷
/dev/random:僅從熵池返回隨機(jī)數(shù);隨機(jī)數(shù)用盡,阻塞
/dev/urandom:從熵池返回隨機(jī)數(shù);隨機(jī)數(shù)用盡,會(huì)利
用軟件生成偽隨機(jī)數(shù),非阻塞11.創(chuàng)建CA和申請證書
(1)證書申請及簽署步驟:
1、生成申請請求
2、RA核驗(yàn)
3、CA簽署
4、獲取證書(2)創(chuàng)建私有CA:OpenCA ,openssl
openssl的配置文件:/etc/pki/tls/openssl.cnf(非常重要哦?。?/p>
Paste_Image.png
Paste_Image.png
Paste_Image.png三種策略:匹配、支持和可選
匹配指要求申請?zhí)顚懙男畔⒏鶦A設(shè)置信息必須一致
支持指必須填寫這項(xiàng)申請信息
可選指可有可無
1、創(chuàng)建所需要的文件
# touch /etc/pki/CA/index.txt 生成證書索引數(shù)據(jù)庫文件
# echo 01 > /etc/pki/CA/serial 指定第一個(gè)頒發(fā)證書的序列號
2、CA自簽證書
生成私鑰
# cd /etc/pki/CA/
# (umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem -des 2048)
/etc/pki/CA/private/cakey.pem指定路徑
生成自簽名證書
# openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
-new: 生成新證書簽署請求
-x509: 專用于CA生成自簽證書,如果不加,只能生成證書
-key: 生成請求時(shí)用到的私鑰文件
-days n:證書的有效期限
-out /PATH/TO/SOMECERTFILE: 證書的保存路徑
3、頒發(fā)證書
? 在需要使用證書的主機(jī)生成證書請求
給web服務(wù)器生成私鑰
# (umask 066; openssl genrsa -out /etc/pki/tls/private/test.key -des 2048)
生成證書申請文件
# openssl req -new -key /etc/pki/tls/private/test.key -days 365 -out etc/pki/tls/test.csr
? 將證書請求文件傳輸給CA
? *.csr請求者的證書
? CA簽署證書,并將證書頒發(fā)給請求者
openssl ca -in /tmp/test.csr –out /etc/pki/CA/certs/test.crt -days 365
注意:默認(rèn)國家,省,公司名稱三項(xiàng)必須和CA一致
? 查看證書中的信息:
# openssl x509 -in /PATH/FROM/CERT_FILE -noout text(以文本文件查看)|issuer|subject|serial|dates
-in 證書路徑
# openssl ca -status SERIAL 查看指定編號的證書狀態(tài)
?再用scp傳輸?shù)秸埱蟮淖覥A主機(jī)上cert12.吊銷證書
(1)在客戶端獲取要吊銷的證書的serial
openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject
(2) 在CA上,根據(jù)客戶提交的serial與subject信息,對比檢驗(yàn)是否與index.txt文件中的信息一致,吊銷證書:
openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
(3) 指定第一個(gè)吊銷證書的編號
echo 01 > /etc/pki/CA/crlnumber
注意:第一次更新證書吊銷列表前,才需要執(zhí)行
(4)更新證書吊銷列表
openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem
查看crl文件:
openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text
本頁內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過網(wǎng)絡(luò)收集編輯所得,所有資料僅供用戶學(xué)習(xí)參考,本站不擁有所有權(quán),如您認(rèn)為本網(wǎng)頁中由涉嫌抄襲的內(nèi)容,請及時(shí)與我們聯(lián)系,并提供相關(guān)證據(jù),工作人員會(huì)在5工作日內(nèi)聯(lián)系您,一經(jīng)查實(shí),本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://caipiao93.cn/20541.html
上一篇:漫談iOS 程序的證書和簽名機(jī)制 下一篇:《圖解HTTP》讀書筆記(三)相關(guān)開發(fā)語言
java 使用ssl,tls 證書認(rèn)證
日期:2018-04 瀏覽次數(shù):6774
nginx配置ssl雙向證書
日期:2017-02 瀏覽次數(shù):3449
CA和證書,SSL
日期:2017-09 瀏覽次數(shù):3674
阿里云申請免費(fèi)SSL(CA)證書(二)
日期:2017-12 瀏覽次數(shù):3544
certbot配置網(wǎng)站SSL安全證書
日期:2018-12 瀏覽次數(shù):4839
HTTPS協(xié)議:概述以及證書申請流程
日期:2016-12 瀏覽次數(shù):4593
菜鳥教程——http和Https、SSL
日期:2017-07 瀏覽次數(shù):13658
一文讀懂Go的net/http標(biāo)準(zhǔn)庫
日期:2017-12 瀏覽次數(shù):3522
微信、iOS、安卓如何配置HTTPS加密
日期:2018-06 瀏覽次數(shù):4278
Nginx 配置 HTTPS 服務(wù)器
日期:2018-05 瀏覽次數(shù):4454
阿里云申請免費(fèi)SSL(CA)證書(一)
日期:2017-12 瀏覽次數(shù):3569
SSL和 HTTPS
日期:2017-06 瀏覽次數(shù):3993
阿里云證書服務(wù)使用教程(下篇)
日期:2018-01 瀏覽次數(shù):3957
SSL雙向認(rèn)證以及證書的制作和使用
日期:2016-12 瀏覽次數(shù):3922
微信小程序HTTPS證書申請搭建教程
日期:2018-08 瀏覽次數(shù):4439
【譯】如何創(chuàng)建SSL自簽名證書
日期:2017-12 瀏覽次數(shù):3727
安裝SLL證書(HTTPS)
日期:2016-09 瀏覽次數(shù):6443
網(wǎng)站大限將至?速效救心丸看這里!
日期:2018-07 瀏覽次數(shù):3220
HTTPS請求證書的種類
日期:2016-12 瀏覽次數(shù):3240
阿里云免費(fèi)證書DV SSL申請過程記錄
日期:2018-10 瀏覽次數(shù):3392
生產(chǎn)ssl證書
日期:2018-10 瀏覽次數(shù):3501
iOS安全系列之二:HTTPS進(jìn)階
日期:2018-09 瀏覽次數(shù):3591
EV SSL證書
日期:2018-02 瀏覽次數(shù):3609
蘋果網(wǎng)店 SSL 證書的烏龍?
日期:2015-05 瀏覽次數(shù):3536
SSL證書生成
日期:2018-09 瀏覽次數(shù):3316
HTTPS時(shí)代全面來臨!你的網(wǎng)站安全嗎?
日期:2018-06 瀏覽次數(shù):3444
git忽略ssl證書
日期:2017-02 瀏覽次數(shù):3882
安裝ssl證書失敗的一種原因
日期:2018-02 瀏覽次數(shù):4346
HTTPS證書
日期:2018-02 瀏覽次數(shù):4191
https-為你的博客加入SSL
日期:2016-12 瀏覽次數(shù):3586
最新網(wǎng)站建設(shè)案例Copyright ? 2013-2018 Tadeng NetWork Technology Co., LTD. All Rights Reserved.
- QQ咨詢
在線咨詢- 官方微信
- 聯(lián)系電話
- 座機(jī)0755-29185426
- 手機(jī)13699882642
- 預(yù)約上門
- 返回頂部