標籤:centos 基於 加密
一、加密和解密
1、加密方式有:對稱式加密、單向加密、公開金鑰加密
對稱式加密:
工具:gpg openssl enc
加密:openssl enc -des3 -a -salt -in /ets/fstab -out /tmp/fstab.cipher
解密:openssl enc -d -dec3 -a -salt -in /tmp/fstab.cipher -out 檔案
單向加密:
工具:sha1sum,md5sum,openssl dgst
openssl dgst [-md5|-md4|-md2|-sha1|-sha|-mdc2|-ripemd160|-dss1][-out filename] /path/to/somefile
公開金鑰加密:公開金鑰加密,私密金鑰解密
工具:gpg openssl rsautl
數位憑證:
第三方機構使用一種安全的方式把公開金鑰分發出去
認證格式:x509,pkcs家族
x509格式:
公開金鑰和有效期間限:
持有人的個人合法身份資訊;(主機名稱)
認證的使用方式
CA的資訊
CA的數位簽章
誰給CA發證:自簽署認證
使用者
1.產生一對密鑰
2.把所需資訊和公開金鑰按固定格式製作成認證申請
CA機構
1.自簽認證
2.簽署認證
3.傳給使用者
4.維護吊銷列表
OpenCA
二、 用openssl實現私人CA
設定檔/etc/pki/tls/openssl.cnf
1、產生金鑰組兒:
# cd /etc/pki/CA/
# (umask 077; openssl genrsa -out private/cakey.pem 2048)
650) this.width=650;" src="http://s3.51cto.com/wyfs02/M02/8A/15/wKioL1gmi23DUwpAAABJ3IMHmSs747.png-wh_500x0-wm_3-wmp_4-s_3349488153.png" title="1.png" alt="wKioL1gmi23DUwpAAABJ3IMHmSs747.png-wh_50" />
2、產生自簽認證:
# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655(表示產生自簽認證的有效期間)
650) this.width=650;" src="http://s1.51cto.com/wyfs02/M01/8A/15/wKioL1gmjTzhpj84AAD4mZbNzV4792.png-wh_500x0-wm_3-wmp_4-s_1583863881.png" title="2.png" alt="wKioL1gmjTzhpj84AAD4mZbNzV4792.png-wh_50" />
3、建立所需要的檔案:
650) this.width=650;" src="http://s3.51cto.com/wyfs02/M00/8A/19/wKiom1gmjamSxeNoAAAdvSCjQWs904.png-wh_500x0-wm_3-wmp_4-s_2849030979.png" title="3.png" alt="wKiom1gmjamSxeNoAAAdvSCjQWs904.png-wh_50" />
三、用openssl實現認證申請:
1、在主機上產生密鑰,儲存至應用此認證的服務的設定檔目錄下, 例如:
650) this.width=650;" src="http://s2.51cto.com/wyfs02/M00/8A/15/wKioL1gmjjjh3MRGAABOFQj0Oco295.png-wh_500x0-wm_3-wmp_4-s_3866330158.png" title="4.png" alt="wKioL1gmjjjh3MRGAABOFQj0Oco295.png-wh_50" />
2、產生認證簽署請求:
650) this.width=650;" src="http://s4.51cto.com/wyfs02/M01/8A/19/wKiom1gmjveTKBfiAADB7rBVFPo277.png-wh_500x0-wm_3-wmp_4-s_1351898471.png" title="5.png" alt="wKiom1gmjveTKBfiAADB7rBVFPo277.png-wh_50" />
3、將請求檔案發往CA:
650) this.width=650;" src="http://s1.51cto.com/wyfs02/M01/8A/15/wKioL1gmj6exUCfKAAAoUkbzKkI909.png-wh_500x0-wm_3-wmp_4-s_3700598331.png" title="6.png" alt="wKioL1gmj6exUCfKAAAoUkbzKkI909.png-wh_50" />
三、CA簽署認證
1、簽署:
650) this.width=650;" src="http://s3.51cto.com/wyfs02/M01/8A/19/wKiom1gmkECRgbYTAACgGUkJbUA727.png-wh_500x0-wm_3-wmp_4-s_1323259148.png" title="7.png" alt="wKiom1gmkECRgbYTAACgGUkJbUA727.png-wh_50" />
2、將認證傳回給要求者
650) this.width=650;" src="http://s5.51cto.com/wyfs02/M02/8A/19/wKiom1gmkKuzXhNKAAAy51dEurM794.png-wh_500x0-wm_3-wmp_4-s_3601899834.png" title="8.png" alt="wKiom1gmkKuzXhNKAAAy51dEurM794.png-wh_50" />
四:吊銷認證:
回到CA主機:
# openssl ca -revoke /test/httpd.crt
650) this.width=650;" src="http://s1.51cto.com/wyfs02/M02/8A/19/wKiom1gmkS3zexMqAAAofhGOC5A814.png-wh_500x0-wm_3-wmp_4-s_554978200.png" title="9.png" alt="wKiom1gmkS3zexMqAAAofhGOC5A814.png-wh_50" />
本文出自 “11501323” 部落格,請務必保留此出處http://11511323.blog.51cto.com/11501323/1872016
基於CentOS 6.5 加密、解密、openssl的基本應用及CA的實現過程