发表日期:2017-09 文章编辑:小灯 浏览次数:3666
签证机构:CA(Certificate Authority)
注册机构:RA
证书吊销列表:CRL
证书存取库:
X.509:定义了证书的结构以及认证协议标准
版本号序列号签名算法颁发者有效期限
主体名称主体公钥CRL分发点扩展信息发行者签名
(1)证书类型:
证书授权机构的证书
服务器
用户证书
(2)获取证书两种方法:
• 使用证书授权机构
生成签名请求(csr)
将csr发送给CA
从CA处接收签名
• 自签名的证书
自已签发自己的公钥
TLS: Transport Layer Security
1995:SSL 2.0 Netscape 1996: SSL 3.0 1999: TLS 1.0 可以理解为SSL升级版 2006: TLS 1.1 IETF(Internet工程任务组) RFC 4346 2008:TLS 1.2 当前使用 2015: TLS 1.3
功能:机密性,认证,完整性,重放保护
两阶段协议,分为握手阶段和应用阶段
握手阶段(协商阶段): 客户端和服务器端认证对方身份(依赖于PKI体系,利用数字证书进行身份认证),并协商通信 中使用的安全参数、密码套件以及主密钥。后续通信使用的所有密钥都是通MasterSecret生成。
应用阶段: 在握手阶段完成后进入,在应用阶段通信双方使用握手阶段协商好的密钥进行安全通信
(1)Handshake协议:
包括协商安全参数和密码套件、服务器身份认证(客户端身份认证可选)密钥交换
(2)ChangeCipherSpec 协议:
一条消息表明握手协议已经完成
(3)Alert 协议:
对握手协议中一些异常的错误提醒,分为fatal和warning两个级别,fatal类型错误会直接 中断SSL链接,而warning级别的错误SSL链接仍可继续,只是会给出错误警告
(4)Record 协议:
包括对消息的分段、压缩、消息认证和完整性保护、加密等
(5)HTTPS 协议:
就是“HTTP 协议”和“SSL/TLS 协议”的组合。HTTP over SSL”或“HTTP over TLS”,对http 协议的文本数据进行加密处理后,成为二进制形式传输
(1)三个组件:
openssl: 多用途的命令行工具,包openssl
libcrypto: 加密算法库,包openssl-libs
libssl:加密模块应用库,实现了ssl及tls,包nss
(2)openssl命令:
两种运行模式:
交互模式和批处理模式
openssl version:程序版本号
标准命令、消息摘要命令、加密命令
标准命令:enc, ca, req, ...
Paste_Image.png
(3)公钥加密:
算法:RSA, ELGamal
工具:gpg, openssl rsautl(man rsautl)
(4)数字签名:
算法:RSA, DSA, ELGamal
(5)密钥交换:
算法:dh,DSA,DSS,RSA
(6) 对称加密:
工具:openssl enc, gpg
算法:3DES, AES, BLOWFISH,TWOFISH
6.enc命令(对称加密)
(1)查看帮助:
man enc
(2)加密:
openssl enc -e -des3 -a -salt -in testfile -out testfile.cipher
Paste_Image.png-e加密 -des3就是对称加密的一种 -a -salt加随机数 -in 要加密的文件 -out 加密后文件的名字
(3)解密:
openssl enc -d -des3 -a -salt –in testfile.cipher -out testfile
Paste_Image.png-d解密 -a -salt加随机数 -in要解密的文件 -out指定解密后文件的名称
7.单向加密:即哈希加密
工具:
md5sum, sha1sum, sha224sum,sha256sum… openssl dgst
- dgst命令:
帮助:man dgst
openssl dgst -md5 [-hex默认] /PATH/SOMEFILE
openssl dgst -md5 testfile
md5sum /PATH/TO/SOMEFILE
Paste_Image.png
MAC: Message Authentication Code,单向加密的一种延 伸应用,用于实现网络通信中保证所传输数据的完整性机制 CBC-MAC
HMAC:使用md5或sha1算法
8.生成用户密码:
(1)passwd命令:
帮助:man sslpasswd
openssl passwd -1 -salt SALT(最多8位)
openssl passwd -1 –salt centos(2) 生成随机数:
帮助:man sslrand
openssl rand -base64|-hex NUM
NUM: 表示字节数;-hex时,每个字符为十六进制,相 当于4位二进制,出现的字符数为NUM*2
-base64-hex:编码格式
Paste_Image.png9. 生成密钥对儿:genrsa
man genrsa
(1)生成私钥#openssl genrsa -out /PATH/TO/PRIVATEKEY.FILE NUM_BITS
#(umask 077; openssl genrsa –out test.key –des 2048)
Paste_Image.png为了保护秘钥文件安全,一般要对秘钥文件加权限,第一个可以用chmod加上去,第二个就把文件权限直接改为了600 -out 输出秘钥文件名称 -des 对私钥加口令,保护私钥安全
(2)从私钥中提取出公钥
openssl rsa -in PRIVATEKEYFILE –pubout –out PUBLICKEYFILE
Openssl rsa –in test.key –pubout –out test.key.pub
Paste_Image.png10.随机数生成器:伪随机数字
键盘和鼠标
块设备中断
/dev/random:仅从熵池返回随机数;随机数用尽,阻塞
/dev/urandom:从熵池返回随机数;随机数用尽,会利
用软件生成伪随机数,非阻塞11.创建CA和申请证书
(1)证书申请及签署步骤:
1、生成申请请求
2、RA核验
3、CA签署
4、获取证书(2)创建私有CA:OpenCA ,openssl
openssl的配置文件:/etc/pki/tls/openssl.cnf(非常重要哦!)
Paste_Image.png
Paste_Image.png
Paste_Image.png三种策略:匹配、支持和可选
匹配指要求申请填写的信息跟CA设置信息必须一致
支持指必须填写这项申请信息
可选指可有可无
1、创建所需要的文件
# touch /etc/pki/CA/index.txt 生成证书索引数据库文件
# echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号
2、CA自签证书
生成私钥
# cd /etc/pki/CA/
# (umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem -des 2048)
/etc/pki/CA/private/cakey.pem指定路径
生成自签名证书
# openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
-new: 生成新证书签署请求
-x509: 专用于CA生成自签证书,如果不加,只能生成证书
-key: 生成请求时用到的私钥文件
-days n:证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径
3、颁发证书
• 在需要使用证书的主机生成证书请求
给web服务器生成私钥
# (umask 066; openssl genrsa -out /etc/pki/tls/private/test.key -des 2048)
生成证书申请文件
# openssl req -new -key /etc/pki/tls/private/test.key -days 365 -out etc/pki/tls/test.csr
• 将证书请求文件传输给CA
• *.csr请求者的证书
• CA签署证书,并将证书颁发给请求者
openssl ca -in /tmp/test.csr –out /etc/pki/CA/certs/test.crt -days 365
注意:默认国家,省,公司名称三项必须和CA一致
• 查看证书中的信息:
# openssl x509 -in /PATH/FROM/CERT_FILE -noout text(以文本文件查看)|issuer|subject|serial|dates
-in 证书路径
# openssl ca -status SERIAL 查看指定编号的证书状态
•再用scp传输到请求的子CA主机上cert12.吊销证书
(1)在客户端获取要吊销的证书的serial
openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject
(2) 在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致,吊销证书:
openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
(3) 指定第一个吊销证书的编号
echo 01 > /etc/pki/CA/crlnumber
注意:第一次更新证书吊销列表前,才需要执行
(4)更新证书吊销列表
openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem
查看crl文件:
openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text
本页内容由塔灯网络科技有限公司通过网络收集编辑所得,所有资料仅供用户学习参考,本站不拥有所有权,如您认为本网页中由涉嫌抄袭的内容,请及时与我们联系,并提供相关证据,工作人员会在5工作日内联系您,一经查实,本站立刻删除侵权内容。本文链接:http://dengtar.com/20541.html
上一篇:漫谈iOS 程序的证书和签名机制 下一篇:《图解HTTP》读书笔记(三)相关开发语言
java 使用ssl,tls 证书认证
日期:2018-04 浏览次数:6768
nginx配置ssl双向证书
日期:2017-02 浏览次数:3442
CA和证书,SSL
日期:2017-09 浏览次数:3665
阿里云申请免费SSL(CA)证书(二)
日期:2017-12 浏览次数:3536
certbot配置网站SSL安全证书
日期:2018-12 浏览次数:4829
HTTPS协议:概述以及证书申请流程
日期:2016-12 浏览次数:4587
菜鸟教程——http和Https、SSL
日期:2017-07 浏览次数:13651
一文读懂Go的net/http标准库
日期:2017-12 浏览次数:3518
微信、iOS、安卓如何配置HTTPS加密
日期:2018-06 浏览次数:4271
Nginx 配置 HTTPS 服务器
日期:2018-05 浏览次数:4450
阿里云申请免费SSL(CA)证书(一)
日期:2017-12 浏览次数:3562
SSL和 HTTPS
日期:2017-06 浏览次数:3988
阿里云证书服务使用教程(下篇)
日期:2018-01 浏览次数:3949
SSL双向认证以及证书的制作和使用
日期:2016-12 浏览次数:3918
微信小程序HTTPS证书申请搭建教程
日期:2018-08 浏览次数:4432
【译】如何创建SSL自签名证书
日期:2017-12 浏览次数:3715
安装SLL证书(HTTPS)
日期:2016-09 浏览次数:6411
网站大限将至?速效救心丸看这里!
日期:2018-07 浏览次数:3215
HTTPS请求证书的种类
日期:2016-12 浏览次数:3235
阿里云免费证书DV SSL申请过程记录
日期:2018-10 浏览次数:3389
生产ssl证书
日期:2018-10 浏览次数:3485
iOS安全系列之二:HTTPS进阶
日期:2018-09 浏览次数:3585
EV SSL证书
日期:2018-02 浏览次数:3603
苹果网店 SSL 证书的乌龙?
日期:2015-05 浏览次数:3528
SSL证书生成
日期:2018-09 浏览次数:3311
HTTPS时代全面来临!你的网站安全吗?
日期:2018-06 浏览次数:3438
git忽略ssl证书
日期:2017-02 浏览次数:3877
安装ssl证书失败的一种原因
日期:2018-02 浏览次数:4343
HTTPS证书
日期:2018-02 浏览次数:4180
https-为你的博客加入SSL
日期:2016-12 浏览次数:3578
最新网站建设案例Copyright ? 2013-2018 Tadeng NetWork Technology Co., LTD. All Rights Reserved.
- QQ咨询
在线咨询- 官方微信
- 联系电话
- 座机0755-29185426
- 手机13699882642
- 预约上门
- 返回顶部