加密方法的種類主要分為三種:單向加密,非對稱加密,對稱加密。
單向加密:不是加密,而是提取資料特徵碼,主要用於驗證資料的完整性。
非對稱加密:非對稱加密也稱公鑰加密,金鑰成對出現。主要用於金鑰交換和數字簽名、身份驗證等。
對稱加密:由於加密方和解密方使用同一對金鑰所以稱為對稱加密。
常見演算法:
md5:message degist,128bit
sda1:secure hash algorithm 1,160bit
aes:
advanced data encryption standard
ca:ca是
certificate authorty
的縮成,是數字證書認證中心的簡稱,是指發放、管理、廢除數字證書的機構。ca是
pki的核心組成部分。
數字證書:數字證書是乙個經證書授權中心數字簽名的包含公開金鑰擁有者資訊以及公開金鑰的檔案。最簡單的證書包含乙個公開的金鑰、名稱以及證書授權中心的數字簽名。
pki:
pki是建立、頒發、管理、登出公鑰證書所涉及到的所有軟體、硬體的集合體。其核心元素是數字證書,核心執行者是
ca認證機構。
ssl和tsl:
ssl(secure sockets layer
安全套接層)和
tsl(
transport layer security
)是在傳輸層對網路連線進行加密的,為資料安全提供安全支援。
ssl協議提供的服務主要有:
1)認證使用者和伺服器,確保資料傳送到正確的客戶機和伺服器;
2)加密資料以防止資料中途被竊取;
3)維護資料的完整性,確保資料在傳輸過程中不被改變。
openssl:
openssl
是一種多用加密解密工具,
openssl
提供的功能相當強大和全面,囊括了主要的密碼演算法、常用的金鑰和證書封裝管理功能以及
ssl協議,並提供了豐富的應用程式供測試或其它目的使用。
opessl
的常用工具
passwd
生成密碼串
openssl passwd -1(
說明以md5
加密) -salt 127888
enc:
說明openssl
是加密還是解密的
openssl enc -des3
(加密為
des3
)-salt -a(ascii
碼) -in(
表示在那個檔案讀入
) inittab -out(
輸出) inintab.des3
-d 解密
speed :
測試openssl
各種加密速度
basc64
表示傳送郵件時加密
echo -n "ddff" | openssl basc64
openss1 genrsa -out key.mageedu 1024(
位長)
生成私鑰
rsa
提取金鑰
-pubout
提取公鑰
openssl rsa -in key.j -pubout -out kyss.j
(umask 077;openss1 genrsa -out key.mageedu 1024)
生成乙個許可權為
600的私鑰
openssl md5
單向加密
建立私有ca並實現數字證書簽署的過程
現在我們有兩台主機a和
b其中a機的
ip為172.16.200.1
b機的ip為
172.16.200.17。
在這裡我們把
a機作為乙個伺服器,
b機作為客戶端來進行證書的簽署。主要步驟如下
配置伺服器a
1.
伺服器a
要先建立乙個私有
ca即給自己簽發乙個ca。
ca伺服器的配置檔案的修改步驟如下:
1.1:
編輯openssl
的配置檔案
/etc/pki/tls/opessl.cnf
找到下圖中的地方更改為
dir=/etc/pki/ca
2、建立
ca需要的目錄和檔案
#mkdir certs newcerts crl
#touch serial index.txt
#echo 01 > serial (
十六進製制從
01開始)
3、自薦證書
(生成金鑰對
),客戶端來驗證
3.1生成金鑰
# cd /etc/pki/ca
#(umask 077;openss1 genrsa -out private/cakey.pem 2048)
3.2自鑑證書
# openss1 req -x509 -new -keyprivate/cakey.pem -out cacert.pem –days 365
3.3檢視證書內容
#openssl x509 -noout –in /private/cakey.pem -text
配置客戶端b,也就是證書申請方
我們這裡提供
ftp服務需要的證書。
1、為ftp服務生成金鑰並發起證書申請
1.1建立
vsftpd
目錄並進入建立所需檔案
#mkdir vsftpd
#cd vsftpd
#mkdir certs (
存放證書資訊)
#cd certs
1.2生成金鑰
#(umask 077l;openss1 genrsa 1024 > vsftpd.key )
1.3發起證書申請
#openss1 req -new -key vsftpd.key -out vsftpd.csr
2、將證書請求傳遞個
ca伺服器
#scp vsftpd.csr
[email protected]:/tmp
表示把證書傳送到伺服器的
tmp目錄下。
3、ca
簽署證書(在
ca伺服器上操作,也就是在主機
a上進行操作。
#cd /tmp
#openss1 ca -in vsftpd.csr -out vsftpd.crt –days 365
4、證書簽署完成後傳遞給客戶端
#scp vsftpd.csr
etc/vsftpd/ssl
表示把證書傳送到客戶端
/etc/vsftpd/ssl
的目錄下
ca證書 linux 匯入 CA搭建與證書申請
一 建立私有ca openssl的配置檔案 etc pki tls openssl.cnf 根據此配置檔案建立ca certs 證書存放目錄 etc pki ca certs database 資料庫檔案 etc pki ca index.txt new certs dir 新頒發證書存放路徑 et...
Linux 建立CA證書
有兩台機器乙個負責頒發 157 乙個負責申請 105 整體思路 1.搭建ca 2.傳送申請 3.頒發證書 選項說明 new 生成新證書簽署請求 x509 專用於ca生成自簽證書 key 生成請求時用到的私鑰檔案 days n 證書的有效期限 out path to somecertfile 證書的儲...
HTTPS及CA證書詳解
http的歷史 https協議如何執行的 https原理 遺留問題以及可能的方案 ca證書 http,超文字傳輸協議,是基於請求響應的乙個無狀態的應用層協議,初衷主要是用來發布和接收web網頁內容。監聽埠號是80 ssl稱為安全套接層,有網景公司設計,主要用來解決http協議明文傳輸導致內容被 和篡...