加密、解密、openssl的基本应用 及CA的实现过程

时间:2021-05-12 19:17:37

加密、解密技术

对称加密

 同一个钥匙可以对文件进行解密和加密。
比如PC01对file文件进行加密传输给PC02,PC用key对file文件进行加密,然后通过网络传输给了PC02,PC02可以用key对文件进行解密

加密、解密、openssl的基本应用 及CA的实现过程

常见的对称加密算法有:

 DES:使用56位的密钥,2000年的时候被人破解了,所以现在基本不再使用
AES:高级加密标准,可以使用128,129,256三种长度密钥
其它:blowfish,Twofish和RC6,IDEA(商业算法),CAST5等

非对称加密

 需要两对秘钥,分别是公钥与私钥,她们是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。
比如PC01要对file01加密传输给PC02,PC01用公钥加密file01文件,通过网路传输给PC02,PC02拿到文件后对私有私钥进行解密

加密、解密、openssl的基本应用 及CA的实现过程

常见的非对称加密算法有:

         RSA     加密和签名
DSA 签名
ElGamal

openssl应用详解

1、安装openssl (默认已经安装)
2、子命令应用
enc对称加密,des3加密方法, -in指定要加密的文件,-e表示加密,-out指定加密后要保存的位置, -salt 使加密过程更安全, -a 表示输出的结果保存为base64的文本编码格式,不指定会保存为二进制, -d 解密

用openssl实现自建CA

 1.准备两台PC 一台当服务端,一台当作客户端

服务器端

  1)生成秘钥对

#openssl genrsa -out private/cakey.pem 2048如果想查看公钥:
#openssl rsa -in private/cakey.pem -pubout -text -noout
3.生成自签证书
# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655
4.创建需要的文件:
# touch index.txt serial crlnumber
5.做好前面四步之后,接受客户端发来的httpd.csr后,进行签署
1)CA签署证书
# openssl ca -in /path/to/somefile.csr -out /path/to/somefile.crt -days DAYS
2)发给客户端(请求者)
吊销证书:
    # openssl ca -revoke /path/to/somefile.crt 

客户端

 1)在主机上生成密钥,保存至应用此证书的服务的配置文件目录下, 例如:

# mkdir /etc/httpd/ssl
# cd /etc/httpd/ssl
# openssl genrsa -out httpd.key 1024s
2)生成证书签署请求:
# openssl req -new -key httpd.key -out httpd.csr
3)将请求文件发往CA;