openssl詳解及實現(xiàn)https

openssl詳解及實現(xiàn)https

OpenSSL 是一個安全套接字層密碼庫，囊括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協(xié)議，并提供豐富的應(yīng)用程序供測試或其它目的使用。

成都創(chuàng)新互聯(lián)專業(yè)提供服務(wù)器機(jī)柜租用服務(wù)，為用戶提供五星數(shù)據(jù)中心、電信、雙線接入解決方案，用戶可自行在線購買服務(wù)器機(jī)柜租用服務(wù)，并享受7*24小時金牌售后服務(wù)。

秘鑰算法和協(xié)議：

• 對稱加密：
  加密和解密使用同一個密鑰，原始數(shù)據(jù)分成固定大小塊，算法不同
  秘鑰過多，秘鑰分發(fā)困難
  DES,3DES  AES  Blowfish  Twofish  IDEA  RC6 CAST5

• 公鑰加密：
     分公鑰與私鑰
         公鑰：從私鑰中提取產(chǎn)生，可公開給所有人；pubkey
         私鑰：通過工具創(chuàng)建，使用者自己留存保證其私密性；secret key
     數(shù)字簽名：（私鑰加密的特征碼）接受方確認(rèn)發(fā)送方身份
     秘要交換：發(fā)送方用對方公鑰加密一個對稱秘鑰 發(fā)送給對方
     數(shù)據(jù)加密：不常用公鑰進(jìn)行數(shù)據(jù)加密 慢，RSA，DSA

  發(fā)送方：

  接收方：

1. 用自己的私鑰解密對稱秘鑰

2. 用對稱秘鑰解密整段數(shù)據(jù)–保密性

3. 用發(fā)送方的公鑰解密特征碼–驗證發(fā)送方身份

4. 計算特征碼與接收的特征碼作比較–保證數(shù)據(jù)完整性
   可能出現(xiàn)中間人。要可靠的拿到對方公鑰：CA

1. 計算數(shù)據(jù)的特征碼

2. 用自己的私鑰加密這段特征碼

3. 生成臨時對稱秘鑰（一次性），用其加密整段數(shù)據(jù)（包括加密的特征碼）

4. 用接收方的公鑰加密臨時對稱秘鑰附加在數(shù)據(jù)后

單向加密： 提取數(shù)據(jù)指紋，只能加密不能解密 定長輸出，雪崩效應(yīng) 保證數(shù)據(jù)完整性 算法： md5  固定128位輸出 sha1 160,224,256,384,512

秘要交換：公鑰交換
 DH:利用 已知大質(zhì)數(shù)的高次方的結(jié)果   反求次方極難
 協(xié)商生成p,g   本機(jī)生成x,將 p^x%g 的結(jié)果發(fā)送
 接收方本機(jī)生成y   求 (p^x%g)^y   對方 (p^y%g)x  結(jié)果相同
 RSA ECDH ECDHE

PKI: Public Key Infrastructure

• 簽證機(jī)構(gòu)：CA（Certificate Authority）
  注冊機(jī)構(gòu)：RA
  證書吊銷列表：CRL
  證書存取庫：

X.509：定義了證書的結(jié)構(gòu)以及認(rèn)證協(xié)議標(biāo)準(zhǔn)

• 版本號
  序列號
  簽名算法
  頒發(fā)者
  有效期限
  主體名稱
  主體公鑰
  CRL分發(fā)點
  擴(kuò)展信息
  發(fā)行者簽名

SSL:Secure Socket Layer
TLS: Transport Layer Security

數(shù)據(jù)保密性
數(shù)據(jù)完整性
安全驗證

---

OpenSSL：開源項目，三個組件

• openssl: 多用途的命令行工具

• libcrypto: 加密算法庫

• libssl：加密模塊應(yīng)用庫，實現(xiàn)了ssl及tls

# openssl
標(biāo)準(zhǔn)命令，消息摘要命令，加密命令

openssl enc
   -e：加密
    -d：解密
    -a：文本編碼格式
    -salt：鹽
    -in：要處理的文件
    -out：要輸出的文件
]# openssl enc -e -rc4 -a -salt -in fstab -out fstab.en 加密

單向加密：計算特征碼

openssl dgst -   FILE
   md2 md4 md5 rmd160  sha sha1 

]# md5sum FILE
]# openssl dgst -md5 FILE   md5加密

生成用戶密碼：

openssl passwd -1 -salt SALT

生成隨機(jī)數(shù)：

openssl rand [base64|hex] #
   base64：
   hex：16進(jìn)制編碼
   #:長度
]# openssl rand -base64 10  使用時去掉尾部兩個“==”
GyA/hYBNH20RAQ==

---

https：http+openssl

環(huán)境：
Web：CentOS 6.8，10.1.235.6
CA：CentOS 7，10.1.235.7
關(guān)閉防火墻及selinux

CentOS 7，10.1.235.7：
建立私有CA：

    生成私鑰：指定位置
]# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
   生成字簽證書：
]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
   -new：生成新證書簽署請求
   -x509：生成自簽格式證書，用于創(chuàng)建私有CA，其它情況不加
   -key：生成請求時用到的私鑰路徑
   -out：生成的請求文件路徑，若自簽操作將直接生成簽署過的證書
   -days：證書的有效時長
...
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing 
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:Class
Organizational Unit Name (eg, section) []:Ops
Common Name (eg, your name or your server's hostname) []:www.zjj.com
Email Address []:

創(chuàng)建所需文件：
]# touch /etc/pki/CA/{serial,index.txt}
]# echo 01 > /etc/pki/CA/serial

CentOS 6.8，10.1.235.6：
安裝配置http服務(wù)：

安裝http及mod_ssl模塊
]# yum install httpd mod_ssl
]# vi /etc/httpd/conf/httpd.conf
#ServerName www.example.com:80
取消注釋更改 ServerName www.zjj.com:80

DocumentRoot "/var/www/html"
注釋該行 #DocumentRoot "/var/www/html"
保存退出

生成證書請求：

]# mkdir /etc/httpd/ssl
]# cd /etc/httpd/ssl

   生成私鑰：
]# (umask 077;openssl genrsa -out  httpd.key 2048)

   生成證書請求：
]# openssl req -new -key httpd.key -out httpd.csr
...填入相關(guān)內(nèi)容
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:Class 
Organizational Unit Name (eg, section) []:Ops
Common Name (eg, your name or your server's hostname) []:www.eva.com
Email Address []:
...

   將請求發(fā)送至CA主機(jī)：
]# scp ../ssl/httpd.csr  10.1.235.7:/

    在CA主機(jī)上簽署：CentOS 7，10.1.235.54
]# openssl  ca -in httpd.csr -out httpd.crt -days 365
   將證書發(fā)送至Web主機(jī)
]# scp httpd.crt  10.1.235.6:/etc/httpd/ssl

Web主機(jī)配置ssl，找到以下兩行，更改對應(yīng)的證書及私鑰文件：

]# vi /etc/httpd/conf.d/ssl.conf

SSLCertificateFile /etc/httpd/ssl/httpd.crt
SSLCertificateKeyFile /etc/httpd/ssl/httpd.key

在虛擬主機(jī)標(biāo)簽內(nèi)添加：
Documentroot /virtual
<Directory /virtual>
   Options None
   AllowOverRide None
</Directory>

]# mkdir /vitual
]# vi /virtual/index.html   創(chuàng)建首頁文件
<center>https from 10.1.235.6</center>

測試：

在/etc/hosts文件中添加一條域名解析
10.1.235.6  www.eva.com

可以在Cent 7上指定證書訪問：未指定證書訪問https會報錯
]# curl --cacert /etc/pki/CA/cacert.pem https://www.eva.com
<center>https from 10.1.235.6</center>

windows中可以將證書導(dǎo)入為受信任的根證書

網(wǎng)頁名稱：openssl+http實現(xiàn)https
轉(zhuǎn)載注明：http://sd-ha.com/article32/pepisc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供電子商務(wù)、搜索引擎優(yōu)化、品牌網(wǎng)站設(shè)計、做網(wǎng)站、服務(wù)器托管、網(wǎng)站改版

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)