安全协议
SSL:secure socket layer
TLS:transport layer security
功能:机密性,认证,完整性,重放保护
两阶段协议:分为握手阶段和应用阶段
握手阶段(协商阶段):客户端和服务端认证对方身份(依赖于PKI体系,利用数字证书进行身份认证),并协商通信中使用的安全参数、密码套件以及主密钥。后续通信使用的所有密钥都是通过MAstersecret生成。
应用阶段:在握手阶段完成后进入与,在应用阶段通信双方使用握手阶段协商好的密钥进行安全通信
在实现通讯的时候,加密过程怎么来实现的,
客户端,发一个hello消息,我要和你通讯,服务器端也打声招呼hello,我收到你的消息了,双方开始一些数据交换,其中最重要的就是把服务器的证书发给他,证书包括CA签过名的公钥,一般来讲客户端信任CA,即客户端拿到了CA的公钥,服务器发过来的证书包括CA颁发给服务器的证书,即私钥签过名服务器的证书,客户端就可以拿CA的公钥把证书里面的签过名的私钥的信息解密,解密之后得到服务器的公钥,
京东向CA申请证书,证书包括,Sca(Pa)+CA+A+expire
客户端想访问京东,京东先把证书传给客户,客户端拿到证书,由于客户信任CA,即客户端拿到了京东的公钥Pca,
CA的公钥拿到了,我们就可以把CA签过名的私钥签名的东西给解开,就得到了A的公钥,
之后,客户端在自己的浏览器自动生成一把对称的密钥,用京东的公钥加密,再发回给京东,
Pjd(key)—–>jd.com 京东的公钥是证书里面包的,解开之后得到的, 京东有自己的私钥,就可以解开,拿到客户端的对称密钥,双方都有了对称密钥,以后就可以用对称数据加密传输
Key(data)—->
<—–key(data) 双方都有密钥,就可以通讯,
访问HTTPS网站的原理
https:
1 client hello—> server 客户端发消息连一下
2 server cert:Sca(Pserver)—>client 服务器把自己的证书传给客户端
3 client Pca[Sca(Pserver)]=Pserver 客户端事先有ca的公钥,就可以解开,得到服务器的公钥
4 client key 随机生成,对称公钥
5 client Pserver(key)—>server 用刚才解密出来的服务器公钥加密,
6 server Sserver[Pserver(key)]=key 服务器用自己的私钥解密,得到key
7 client<—key(data)—>server
CA证书 格式
PKI:
X.509:定义了证书的结构以及认证协议标准
支持ssl的功能的开源项目:openssl
三个组件:OpenSSL:多用途的命令行工具
Libcrypto:加密算法库,包openssl-libs
Libssl:加密模块应用库,实现了ssl及tls。包nss
Openssl命令:
两种运行模式:交互式模式和批处理模式
Openssl version:程序版本号
标准命令、消息摘要命令、加密命令
标准命令:enc,ca,req
查看帮助,man dgst
Man enc
Openssl命令实现对称密钥加密
[root@centos7 app]# openssl enc -e -des3 -a -salt -in fstab -out fstab.des3
Enc对称密钥加密,-e表示要加密,-des3加密算法,-in表示对哪个文件操作-out输出文件名,
-a是一种格式,base64 编码 A-Za-z0-9+/ 共64个 000000-111111
[root@centos7 app]# scp fstab.des3 192.168.27.120:/app/ 传到另一个主机
[root@Centos6 app]# openssl enc -d -des3 -a -salt -in fstab.des3 解密
Hash运算 支持hash运算 和md5运算一样
[root@centos7 app]# openssl dgst -md5 fstab
MD5(fstab)= 5ee6b24e978dd663a191a50d7b36eb81
[root@centos7 app]# md5sum fstab
5ee6b24e978dd663a191a50d7b36eb81 fstab
生成用户密码:passwd命令
帮助:man sslpasswd
[root@centos7 app]# openssl passwd -1 -salt
生成随机数
帮助:man sslrand
Openssl rand -base64|-hex NUM
NUM:表示字节数;-hex时,每个字符为十六进制,相当于4位二进制,出现的字符数为num*2
[root@centos7 app]# openssl rand -base64 10
0sVbokguIMl55g==
[root@centos7 app]# openssl rand -hex 2 两个字节
f1ef 两个字节占四位十六进制数,一个十六进制数相当于四位,
打包 tar jcvf script27.tar.xz /home/wang
Sz script27.tar.xz
Rz
公钥加密
算法:RSA. ELGamal
工具:gpg,openssl rsautl(man rsautl)
数据签名:
算法:RSA,DSA,ELGamal
密钥交换
算法:df
DSA
DSS
RSA
生成密钥对:man genrsa
生成私钥
[root@centos7 app]# openssl genrsa -out centos6.key 1024 私钥文件不安全
[root@centos7 app]# (umask 066;openssl genrsa -out centos6.key 1024) 066对文件最大权限666,减去066,600都是偶数也不用加1
[root@centos7 app]# (umask 066;openssl genrsa -out centos6.key2 -des3 4096) 对称加密,即加上密码(只有root权限)
[root@centos7 app]# openssl rsa -in centos6.key2 -out centos6.key2.out 将加密key解密
从私钥文件中,把公钥提取出来
[root@centos7 app]# openssl rsa -in centos6.key -pubout -out centos6.key.pub
[root@centos7 app]# openssl rsa -in centos6.key2 -pubout -out centos6.key.pub2
随机数生成器:
键盘和鼠标,块设备中断
/dev/random 仅从熵池返回随机数;随机数用尽,阻塞
/dev/urandom从熵池返回随机数;随机数用尽,会利用软件生成伪随机数非阻塞
[root@centos7 ~]# cat /dev/urandom |tr -dc ‘[:alnum:]’ |head -c 10
[root@centos7 ~]# openssl rand -base64 12 |head -c 10
Head 用于显示文件的开头的内容,-c 指定显示头部内容的字符数
Tr用来自标准输入的字符进行替换、压缩和删除、
-c 取代所有不属于第一字符集的字符(即取补集)
-d 删除所有属于第一字符集中的字符
PKI: Public Key Infrastructure 公共密钥架构
CA 证书的颁发机构
RA 证书的申请机构
CRL 证书吊销列表
证书的存取库
建立私有CA
OpenCA
Openssl
证书申请及签署步骤
- 生成申请请求
- RA核验
- CA核验
- 获取证书
搭建CA
搭建ca时,需要自己建立私钥,需要有根ca,第一个ca,就相当于根ca,根ca的证书是自己给自己颁发的,自签名的证书,建立公钥私钥对,通过私钥来自己向自己颁发证书,,,第一步,建立自己的ca,客户端向ca申请证书,
生成文件,填写必要信息,国家,省,域;RA检查信息,收集请求,没问题之后;CA签署,客户端获取证书后就
可以使用了,可以放在web服务器上将来实现web https的应用程序加密
创建私有CA
Openssl的配置文件:/etc/pki/tls/openssl.cnf
Centos7 改ip地址
看ip地址,nmcli connection
改ip地址,nmcli connection modify ens33 ipv4.addresses 192.168.27.7 /24
让该地址生效,nmcli connection up ens33
三种策略:匹配、支持和可选
匹配指要求填写的信息跟CA设置信息必须一致,支持指必须填写这项申请信息,可选指可有可无
1创建所需要的文件
touch /etc/pki/CA/index.txt 生成证书索引数据库文件
echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号
2CA自签证书
生成私钥
cd /etc/pki/CA CA工作的主目录
(umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048) 私钥文件/private/cakey.pem
生成自签名证书,从私钥下生成自签名证书
[root@centos7 CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650
(证书里面是放公钥的)
Openssl req -new -x509 -key
/etc/pki/CA/private/cakey.pem -days 7300 -out 7300有效期
/etc/pki/CA/cacert.pem
-new 生成新证书签署请求
-x509 专用于CA生成自签证书
-key 生成请求时用到的私钥文件
-days n 证书的有效期限
-out 证书的保存路径
-x509 加这个,表示自己给自己颁发证书 不加,表示向CA申请证书,
查看证书信息
[root@centos7 CA]# openssl x509 -in cacert.pem -noout -text
客户端centos6向centos7申请证书
第一步,自己有私钥,比如将来给http服务用的,我们要生成私钥文件,利用私钥文件生成证书申请,也是一个文件,拷贝到centos7上,CA颁发证书,也生成一个文件,复制回到centos6,意味着centos6有三个文件,私钥文件,请求文件,最终的证书文件, 其中搭建http的加密应用,需要用到两个文件,私钥文件和证书文件
第一步,生成私钥文件
(umask 066;openssl genrsa -out app.key 1024)
第二步,利用私钥文件生成证书申请请求
[root@Centos6 ~]# openssl req -new -key app.key -out app.pem 生成证书申请文件
[root@Centos6 ~]# mv app.pem app.csr 改名字
[root@Centos6 ~]# scp app.csr 192.168.27.8:/etc/pki/CA 传递给centos7 证书申请,等待颁发
[root@centos7 CA]# openssl ca -in app.csr -out certs/app.crt -days 730 对申请,颁发证书,,对申请生成证书文件
[root@centos7 CA]# touch index.txt
[root@centos7 CA]# echo 0F > /etc/pki/CA/serial 序列号
[root@centos7 CA]# openssl ca -in app.csr -out certs/app.crt -days 730
[root@centos7 CA]# scp certs/app.crt 192.168.27.120:/app 导入centos6
在客户端查看证书
[root@Centos6 app]# openssl x509 -in /app/app.crt -noout -text
吊销证书
Openssl ca -revoke newcerts/11.pem
生成证书吊销列表
第一步Echo 0F > /etc/pki/CA/crlnumber 生成相关文件
第二步Openssl ca -gencrl -out crl.pem 生成证书吊销列表
总结创建CA
搭建根CA ,根CA的创建有两步
第一步,建立两个必要的文件,
第二步,生成私钥给自己签名 ;生成私钥文件,生成自签名文件
在另外一台机器上,生成私钥, 向CA申请证书,填写信息 生成请求文件csr,复制到CA,然后CA颁发证书
本文来自投稿,不代表Linux运维部落立场,如若转载,请注明出处:http://www.178linux.com/90993
