openssl做一個CA（1）

     SSL，Security Socket Layer,是一個安全傳輸協議，在Internet網上進行數據保護和身份確認。OpenSSL是一個開放源代碼的實現了SSL及相關加密技術的軟件包，由加拿大的Eric Yang等發起編寫的。OpenSSL的官方網站為http://www.openssl.org/，源代碼可以從ftp://ftp.openssl.org/source/上下載，也可以從OpenSSL的鏡像網站下載。

openssl

SSL是Secure Socket Layer（安全套接層協議）的縮寫，可以在Internet上提供秘密性傳輸。Netscape公司在推出第一個Web瀏覽器的同時，提出了SSL協議標準，目前已有3.0版本。SSL采用公開密鑰技術。其目標是保證兩個應用間通信的保密性和可靠性，可在服務器端和用戶端同時實現支持。

openssl

利用公開密鑰技術的SSL協議已成為Internet上保密通訊的工業標準。安全套接層協議能使C/S應用之間的通信不被***者竊聽，并且始終對服務器進行認證，還可選擇對用戶進行認證。SSL協議要求建立在可靠的傳輸層協議(TCP)之上。SSL協議的優勢在于它是與應用層協議獨立無關的，高層的應用層協議(例如：HTTP，FTP，TELNET等)能透明地建立于SSL協議之上。

openssl

SSL協議在應用層協議通信之前就已經完成加密算法、通信密鑰的協商及服務器認證工作。在此之后應用層協議所傳送的數據都會被加密，從而保證通信的私密性。通過以上敘述，SSL協議提供的安全信道有以下三個特性：

1.數據的保密性
信息加密就是把明碼的輸入文件用加密算法轉換成加密的文件以實現數據的保密。加密的過程需要用到密匙來加密數據然后再解密。沒有了密鑰，就無法解開加密的數據。數據加密之后，只有密匙要用一個安全的方法傳送。加密過的數據可以公開地傳送。

2.數據的一致性
加密也能保證數據的一致性。例如:消息驗證碼（MAC），能夠校驗用戶提供的加密信息，接收者可以用MAC來校驗加密數據，保證數據在傳輸過程中沒有被篡改過。

3.安全驗證
加密的另外一個用途是用來作為個人的標識，用戶的密匙可以作為他的安全驗證的標識。SSL是利用公開密鑰的加密技術（RSA）來作為用戶端與服務器端在傳送機密資料時的加密通訊協定。

openssl

 openssl - OpenSSL簡介

眾多的密碼算法、公鑰基礎設施標準以及SSL協議，或許這些有趣的功能會產生實現所有這些算法和標準的想法。這是一個令人望而生畏的過程。這個工作不再是簡單的讀懂幾本密碼學專著和協議文檔那么簡單，而是要理解所有這些算法、標準和協議文檔的每一個細節，并用很熟悉的C語言字符一個一個去實現這些定義和過程。

Eric A. Young和Tim J. Hudson這兩個加拿大人自1995年開始編寫后來具有巨大影響的OpenSSL軟件包，這是一個沒有太多限制的開放源代碼的軟件包。1998年，OpenSSL項目組接管了OpenSSL的開發工作，并推出了OpenSSL的0.9.1版，目前為止，OpenSSL的算法已經非常完善，對SSL2.0、SSL3.0以及TLS1.0都支持。

OpenSSL采用C語言作為開發語言，這使得OpenSSL具有優秀的跨平臺性能，這對于廣大技術人員來說是一件非常美妙的事情，可以在不同的平臺使用同樣熟悉的東西。OpenSSL支持Linux、Windows、BSD、Mac、VMS等平臺，這使得OpenSSL具有廣泛的適用性。

OpenSSL整個軟件包大概可以分成三個主要的功能部分：密碼算法庫，SSL協議庫，應用程序。
OpenSSL的目錄結構自然也是圍繞這三個功能部分進行規劃的。

1.對稱加密算法

OpenSSL一共提供了8種對稱加密算法，其中7種是分組加密算法，僅有的一種流加密算法是RC4。這7種分組加密算法分別是AES、DES、Blowfish、CAST、IDEA、RC2、RC5，都支持電子密碼本模式（ECB）、加密分組鏈接模式（CBC）、加密反饋模式（CFB）和輸出反饋模式（OFB）四種常用的分組密碼加密模式。其中，AES使用的加密反饋模式（CFB）和輸出反饋模式（OFB）分組長度是128位，其它算法使用的則是64位。事實上，DES算法里面不僅僅是常用的DES算法，還支持三個密鑰和兩個密鑰3DES算法。

2.非對稱加密算法

OpenSSL一共實現了4種非對稱加密算法，包括DH算法、RSA算法、DSA算法和橢圓曲線算法（EC）。

DH算法一般用戶密鑰交換。
RSA算法既可以用于密鑰交換，也可以用于數字簽名。
DSA算法則一般只用于數字簽名。

3.信息摘要算法

OpenSSL實現了5種信息摘要算法，分別是MD2、MD5、MDC2、SHA（SHA1）和RIPEMD。SHA算法事實上包括了SHA和SHA1兩種信息摘要算法，此外，OpenSSL還實現了DSS標準中規定的兩種信息摘要算法DSS和DSS1。

4.密鑰和證書管理 

密鑰和證書管理是PKI的一個重要組成部分，OpenSSL為之提供了豐富的功能，支持多種標準。

首先，OpenSSL實現了ASN.1的證書和密鑰相關標準，提供了對證書、公鑰、私鑰、證書請求以及CRL等數據對象的DER、PEM和BASE64的編解碼功能。OpenSSL提供了產生各種公開密鑰對和對稱密鑰的方法、函數和應用程序，同時提供了對公鑰和私鑰的DER編解碼功能。并實現了私鑰的PKCS#12和PKCS#8的編解碼功能。OpenSSL在標準中提供了對私鑰的加密保護功能，使得密鑰可以安全地進行存儲和分發。

在此基礎上，OpenSSL實現了對證書的X.509標準編解碼、PKCS#12格式的編解碼以及PKCS#7的編解碼功能。并提供了一種文本數據庫，支持證書的管理功能，包括證書密鑰產生、請求產生、證書簽發、吊銷和驗證等功能。

OpenSSL提供的CA應用程序就是一個小型的證書管理中心（CA），實現了證書簽發的整個流程和證書管理的大部分機制。

5.SSL和TLS協議

OpenSSL實現了SSL協議的SSLv2和SSLv3，支持了其中絕大部分算法協議。OpenSSL也實現了TLSv1.0，TLS是SSLv3的標準化版，雖然區別不大，但畢竟有很多細節不盡相同。

雖然已經有眾多的軟件實現了OpenSSL的功能，但是OpenSSL里面實現的SSL協議能夠對SSL協議有一個更加清楚的認識，因為至少存在兩點：一是OpenSSL實現的SSL協議是開放源代碼的，可以追究SSL協議實現的每一個細節；二是OpenSSL實現的SSL協議是純粹的SSL協議，沒有跟其它協議（如HTTP）協議結合在一起，澄清了SSL協議的本來面目。

6.應用程序

OpenSSL的應用程序已經成為了OpenSSL重要的一個組成部分，其重要性恐怕是OpenSSL的開發者開始沒有想到的。現在OpenSSL的應用中，很多都是基于OpenSSL的應用程序而不是其API的，如OpenCA，就是完全使用OpenSSL的應用程序實現的。OpenSSL的應用程序是基于OpenSSL的密碼算法庫和SSL協議庫寫成的，所以也是一些非常好的OpenSSL的API使用范例。

OpenSSL的應用程序提供了相對全面的功能，在相當多的人看來，OpenSSL已經為自己做好了一切，不需要再做更多的開發工作了，所以，他們也把這些應用程序成為OpenSSL的指令。OpenSSL的應用程序主要包括密鑰生成、證書管理、格式轉換、數據加密和簽名、SSL測試以及其它輔助配置功能。