中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何使用Openssl 制作CA證書

發布時間:2020-06-26 18:12:17 來源:網絡 閱讀:1125 作者:丿小鄭師傅 欄目:安全技術

一、SSL協議百科名片

  SSL是Secure Socket Layer(安全套接層協議),可以在Internet上提供秘密性傳輸。Netscape公司在推出第一個Web瀏覽器的同時,提出了SSL協議標準。其目標是保證兩個應用間通信的保密性和可靠性,可在服務器端和用戶端同時實現支持。

  SSL協議要求建立在可靠的傳輸層協議(TCP)之上。SSL協議的優勢在于它是與應用層協議獨立無關的,高層的應用層協議(HTTP,FTP,TELNET等)能透明地建立于SSL協議之上。SSL協議在應用層協議通信之前就已經完成加密算法、通信秘鑰的協商及服務器認證工作。

  SSL協議提供的安全信道有以下三個特性:

   1、機密性:確保數據是保密性和隱私性的。

   2、完整性:確保接收到的為完完整整的信息。

   3、可用性:確保整個性能的可以用來作為安全驗證的標示。

OpenSSL是一個強大的安全套接字層密碼庫,Apache使用它加密HTTPS,OpenSSH使用它加密SSH,它還是一個多用途的、跨平臺的密碼工具,OpenSSL包含一個命令行工具用來完成OpenSSL庫中的所有功能。


二、Openssl的簡介

   OpenSSL是一個強大的安全套接字層密碼庫,Apache使用它加密HTTPS,OpenSSH使用它加密SSH,不只是可以將其當做一個庫來使用,還是一個多用途的、跨平臺的密碼工具,OpenSSL包含一個命令行工具用來完成OpenSSL庫中的所有功能。

OpenSSL整個軟件包大概可以分成三個主要的功能部分

1、Libcrypto:密碼算法庫,負責加密與解密;

   2、Libssl:SSL協議庫,實現ssl協議功能的會話庫;

   3、httpd mod_ssl :openssl 命令行工具。


三、數字證書

  數字證書是一種權威性的電子文檔,由權威公正的第三方機構,即CA中心簽發的證書。

以數字證書為核心的加密技術(加密傳輸、數字簽名、數字信封等安全技術)可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證,確保網上傳遞信息的機密性、完整性及交易的不可抵賴性。

  數字證書可用于:發送安全電子郵件、訪問安全站點、網上證券交易、網上招標采購、網上辦公、網上保險、網上稅務、網上簽約和網上銀行等安全電子事務處理和安全電子交易活動。

  PKI:Public Key Infrastructure,是指用公鑰概念和技術來實施和提供安全服務的具有普適性的安全基礎設施。

一個完整的PKI系統必須具有注冊機構(RC)、權威認證機構(CA)、數字證書庫、密鑰備份及恢復系統、證書吊銷系統(CRL)、端實體(API即應用接口)等基本構成部分。

四、證書格式

目前數字證書的格式普遍采用的是X.509V3國際標準,一個標準的X.509數字證書包含以下一些內容:
證書的版本信息;
  證書的序列號,每個證書都有一個唯一的證書序列號;
  證書所使用的簽名算法;
  證書的發行機構名稱,命名規則一般采用X.500格式;
  證書的有效期,現在通用的證書一般采用UTC時間格式,它的計時范圍為1950-2049;
  證書所有人的名稱,命名規則一般采用X.500格式;
證書所有人的公開密鑰

  證書發行者對證書的簽名。

五、利用Openssl制作證書的相關命令

1、加密數據

# openssl enc -des3 -in /path/to/somefile -e -out /path/to/somefile.des3

2、解密數據

# openssl enc -des3 -in /path/to/somefile.des3 -d -out /path/to/somefile

  3、獲取加密所需的特征碼

# openssl dgst -md5 -hex /path/to/somefile
# md5sum

  4、測試加密速度

# openssl speed

  5、添加密碼時計算其密碼值

# openssl passwd -l -salt

  6、生成隨機數

# openssl rand -base64 num
# openssl rand -hex num

7、生成私鑰

# openssl genrsa 2^n > /path/to/keyfile
# openssl genrsa -out /path/to/keyfile 2^n
# (umask 077; openssl genrsa -out /root/mykey2.pri 2048)

8、提取公鑰

# openssl rsa -in /path/to/keyfile -pubout


六、如何申請證書

  1、生成一個私鑰;

2、制作一個證書簽署請求;

# openssl req -new -key /path/to/private_key -out /paht/to/certificate.csr

  3、由CA負責簽署證書;

七、如何自建CA

  1、為CA生成一個私鑰;

# cd /etc/pki/CA/
# (umask 077; openssl genrsa -out private/cakey.pem 2048)

2、生成自簽證書;

# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365
# touch index.txt
# echo 01 > serial

3、簽署證書

# openssl ca -in /path/to/certreq.csr -out /path/to/certfile.crt -days 365

八、客戶端測試CA證書

# openssl s_client -connect HOST:PORT -CAfile /path/to/cacertfile|-CApath /paht/to/cacertfiles_dir/ -ssl2|-ssl3|-tls1


九、Openssl后綴名的文件

1).key格式:私有的密鑰

2).crt格式:證書文件,certificate的縮寫

3).csr格式:證書簽名請求(證書請求文件),含有公鑰信息,certificate signing request的縮寫

4).crl格式:證書吊銷列表,Certificate Revocation List的縮寫

5).pem格式:用于導出,導入證書時候的證書的格式,有證書開頭,結尾的格式









向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

富平县| 金昌市| 武乡县| 天柱县| 古浪县| 大理市| 信宜市| 乐至县| 建始县| 灌南县| 崇礼县| 剑川县| 桓台县| 恭城| 临沭县| 扬中市| 永宁县| 长汀县| 曲麻莱县| 延吉市| 武胜县| 汉中市| 黎城县| 青阳县| 兴安县| 凤翔县| 察隅县| 嘉义市| 三穗县| 山丹县| 随州市| 德化县| 辽阳县| 行唐县| 武川县| 晋州市| 榕江县| 宝丰县| 昌江| 义马市| 英超|