中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

openssl+http實現https

發布時間:2020-07-17 11:53:58 來源:網絡 閱讀:2175 作者:從此Uh 欄目:編程語言
openssl詳解及實現https

openssl詳解及實現https

OpenSSL 是一個安全套接字層密碼庫,囊括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協議,并提供豐富的應用程序供測試或其它目的使用。

秘鑰算法和協議:

  • 對稱加密:
    加密和解密使用同一個密鑰,原始數據分成固定大小塊,算法不同
    秘鑰過多,秘鑰分發困難
    DES,3DES  AES  Blowfish  Twofish  IDEA  RC6 CAST5

  • 公鑰加密:
       分公鑰與私鑰
           公鑰:從私鑰中提取產生,可公開給所有人;pubkey
           私鑰:通過工具創建,使用者自己留存保證其私密性;secret key
       數字簽名:(私鑰加密的特征碼)接受方確認發送方身份
       秘要交換:發送方用對方公鑰加密一個對稱秘鑰 發送給對方
       數據加密:不常用公鑰進行數據加密 慢,RSA,DSA

    發送方:

    接收方:

  1. 用自己的私鑰解密對稱秘鑰

  2. 用對稱秘鑰解密整段數據–保密性

  3. 用發送方的公鑰解密特征碼–驗證發送方身份

  4. 計算特征碼與接收的特征碼作比較–保證數據完整性
    可能出現中間人。要可靠的拿到對方公鑰:CA

  1. 計算數據的特征碼

  2. 用自己的私鑰加密這段特征碼

  3. 生成臨時對稱秘鑰(一次性),用其加密整段數據(包括加密的特征碼)

  4. 用接收方的公鑰加密臨時對稱秘鑰附加在數據后

單向加密: 提取數據指紋,只能加密不能解密 定長輸出,雪崩效應 保證數據完整性 算法: md5  固定128位輸出 sha1 160,224,256,384,512

秘要交換:公鑰交換
 DH:利用 已知大質數的高次方的結果   反求次方極難
 協商生成p,g   本機生成x,將 p^x%g 的結果發送
 接收方本機生成y   求 (p^x%g)^y   對方 (p^y%g)x  結果相同
 RSA ECDH ECDHE

PKI: Public Key Infrastructure

  • 簽證機構:CA(Certificate Authority)
    注冊機構:RA
    證書吊銷列表:CRL
    證書存取庫:

X.509:定義了證書的結構以及認證協議標準

  • 版本號
    序列號
    簽名算法
    頒發者
    有效期限
    主體名稱
    主體公鑰
    CRL分發點
    擴展信息
    發行者簽名

SSL: Secure Socket Layer
TLS: Transport Layer Security

數據保密性
數據完整性
安全驗證


OpenSSL:開源項目,三個組件

  • openssl: 多用途的命令行工具

  • libcrypto: 加密算法庫

  • libssl:加密模塊應用庫,實現了ssl及tls

# openssl
標準命令,消息摘要命令,加密命令

openssl enc
   -e:加密
   -d:解密
   -a:文本編碼格式
   -salt:鹽
   -in:要處理的文件
   -out:要輸出的文件
]# openssl enc -e -rc4 -a -salt -in fstab -out fstab.en 加密

單向加密:計算特征碼

openssl dgst -   FILE
   md2 md4 md5 rmd160  sha sha1

]# md5sum FILE
]# openssl dgst -md5 FILE   md5加密

生成用戶密碼:

openssl passwd -1 -salt SALT

生成隨機數:

openssl rand [base64|hex] #
   base64:
   hex16進制編碼
   #:長度
]# openssl rand -base64 10  使用時去掉尾部兩個“==”
GyA/hYBNH20RAQ==

https:http+openssl

環境:
Web:CentOS 6.8,10.1.235.6
CA:CentOS 7,10.1.235.7
關閉防火墻及selinux

CentOS 7,10.1.235.7:
建立私有CA:

    生成私鑰:指定位置
]# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
   生成字簽證書:
]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
   -new:生成新證書簽署請求
   -x509:生成自簽格式證書,用于創建私有CA,其它情況不加
   -key:生成請求時用到的私鑰路徑
   -out:生成的請求文件路徑,若自簽操作將直接生成簽署過的證書
   -days:證書的有效時長
...
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:Class
Organizational Unit Name (eg, section) []:Ops
Common Name (eg, your name or your server's hostname) []:www.zjj.com
Email Address []:

創建所需文件:
]# touch /etc/pki/CA/{serial,index.txt}
]# echo 01 > /etc/pki/CA/serial

CentOS 6.8,10.1.235.6:
安裝配置http服務:

安裝http及mod_ssl模塊
]# yum install httpd mod_ssl
]# vi /etc/httpd/conf/httpd.conf
#ServerName www.example.com:80
取消注釋更改 ServerName www.zjj.com:80

DocumentRoot "/var/www/html"
注釋該行 #DocumentRoot "/var/www/html"
保存退出

生成證書請求:

]# mkdir /etc/httpd/ssl
]# cd /etc/httpd/ssl

   生成私鑰:
]# (umask 077;openssl genrsa -out  httpd.key 2048)

   生成證書請求:
]# openssl req -new -key httpd.key -out httpd.csr
...填入相關內容
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:Class
Organizational Unit Name (eg, section) []:Ops
Common Name (eg, your name or your server's hostname) []:www.eva.com
Email Address []:
...

   將請求發送至CA主機:
]# scp ../ssl/httpd.csr  10.1.235.7:/
    在CA主機上簽署:CentOS 710.1.235.54
]# openssl  ca -in httpd.csr -out httpd.crt -days 365
   將證書發送至Web主機
]# scp httpd.crt  10.1.235.6:/etc/httpd/ssl

Web主機配置ssl,找到以下兩行,更改對應的證書及私鑰文件:

]# vi /etc/httpd/conf.d/ssl.conf

SSLCertificateFile /etc/httpd/ssl/httpd.crt
SSLCertificateKeyFile /etc/httpd/ssl/httpd.key

在虛擬主機標簽內添加:
Documentroot /virtual
<Directory /virtual>
   Options None
   AllowOverRide None
</Directory>

]# mkdir /vitual
]# vi /virtual/index.html   創建首頁文件
<center>https from 10.1.235.6</center>

測試:

/etc/hosts文件中添加一條域名解析
10.1.235.6  www.eva.com

可以在Cent 7上指定證書訪問:未指定證書訪問https會報錯
]# curl --cacert /etc/pki/CA/cacert.pem https://www.eva.com
<center>https from 10.1.235.6</center>

windows中可以將證書導入為受信任的根證書




向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

嘉定区| 双牌县| 元氏县| 呼伦贝尔市| 永嘉县| 托里县| 万安县| 杭锦旗| 内江市| 珲春市| 大埔区| 瑞安市| 辰溪县| 金沙县| 静乐县| 泰来县| 龙泉市| 常熟市| 南陵县| 东乌珠穆沁旗| 普格县| 黄陵县| 榆林市| 泸定县| 仪陇县| 梓潼县| 九江市| 太原市| 工布江达县| 甘谷县| 湖口县| 灵寿县| 自治县| 阿荣旗| 三门峡市| 江阴市| 麟游县| 咸宁市| 垣曲县| 丰县| 从化市|