密钥和公钥

安全协议和搭建CA

安全协议

SSL:secure socket layer

TLS:transport layer security

功能:机密性,认证,完整性,重放保护

两阶段协议:分为握手阶段和应用阶段

握手阶段(协商阶段):客户端和服务端认证对方身份(依赖于PKI体系,利用数字证书进行身份认证),并协商通信中使用的安全参数、密码套件以及主密钥。后续通信使用的所有密钥都是通过MAstersecret生成。

应用阶段:在握手阶段完成后进入与,在应用阶段通信双方使用握手阶段协商好的密钥进行安全通信

在实现通讯的时候,加密过程怎么来实现的,

客户端,发一个hello消息,我要和你通讯,服务器端也打声招呼hello,我收到你的消息了,双方开始一些数据交换,其中最重要的就是把服务器的证书发给他,证书包括CA签过名的公钥,一般来讲客户端信任CA,即客户端拿到了CA的公钥,服务器发过来的证书包括CA颁发给服务器的证书,即私钥签过名服务器的证书,客户端就可以拿CA的公钥把证书里面的签过名的私钥的信息解密,解密之后得到服务器的公钥,

 

京东向CA申请证书,证书包括,Sca(Pa)+CA+A+expire

 

客户端想访问京东,京东先把证书传给客户,客户端拿到证书,由于客户信任CA,即客户端拿到了京东的公钥Pca,

CA的公钥拿到了,我们就可以把CA签过名的私钥签名的东西给解开,就得到了A的公钥,

之后,客户端在自己的浏览器自动生成一把对称的密钥,用京东的公钥加密,再发回给京东,

Pjd(key)—–>jd.com   京东的公钥是证书里面包的,解开之后得到的,  京东有自己的私钥,就可以解开,拿到客户端的对称密钥,双方都有了对称密钥,以后就可以用对称数据加密传输

Key(data)—->

<—–key(data)   双方都有密钥,就可以通讯,

访问HTTPS网站的原理

 

https:

1 client hello—> server   客户端发消息连一下

2 server cert:Sca(Pserver)—>client   服务器把自己的证书传给客户端

3 client Pca[Sca(Pserver)]=Pserver 客户端事先有ca的公钥,就可以解开,得到服务器的公钥

4 client key  随机生成,对称公钥

5 client Pserver(key)—>server 用刚才解密出来的服务器公钥加密,

6 server Sserver[Pserver(key)]=key 服务器用自己的私钥解密,得到key

7 client<—key(data)—>server

 

CA证书 格式

PKI:

X.509:定义了证书的结构以及认证协议标准

支持ssl的功能的开源项目:openssl

三个组件:OpenSSL:多用途的命令行工具

Libcrypto:加密算法库,包openssl-libs

Libssl:加密模块应用库,实现了ssl及tls。包nss

Openssl命令:

两种运行模式:交互式模式和批处理模式

Openssl version:程序版本号

标准命令、消息摘要命令、加密命令

标准命令:enc,ca,req

查看帮助,man dgst

Man enc

Openssl命令实现对称密钥加密

[root@centos7 app]# openssl enc -e -des3 -a -salt -in fstab  -out fstab.des3

Enc对称密钥加密,-e表示要加密,-des3加密算法,-in表示对哪个文件操作-out输出文件名,

-a是一种格式,base64 编码   A-Za-z0-9+/  共64个  000000-111111

[root@centos7 app]# scp fstab.des3 192.168.27.120:/app/   传到另一个主机

 

[root@Centos6 app]# openssl enc -d -des3 -a -salt -in fstab.des3    解密

 

Hash运算 支持hash运算  和md5运算一样

[root@centos7 app]# openssl dgst -md5 fstab

MD5(fstab)= 5ee6b24e978dd663a191a50d7b36eb81

[root@centos7 app]# md5sum fstab

5ee6b24e978dd663a191a50d7b36eb81  fstab

 

生成用户密码:passwd命令

帮助:man sslpasswd

[root@centos7 app]# openssl passwd -1 -salt

生成随机数

帮助:man sslrand

Openssl rand -base64|-hex NUM

NUM:表示字节数;-hex时,每个字符为十六进制,相当于4位二进制,出现的字符数为num*2

[root@centos7 app]# openssl rand -base64 10

0sVbokguIMl55g==

[root@centos7 app]# openssl rand -hex 2  两个字节

f1ef  两个字节占四位十六进制数,一个十六进制数相当于四位,

 

打包 tar jcvf script27.tar.xz /home/wang

Sz script27.tar.xz

Rz

公钥加密

算法:RSA.  ELGamal

工具:gpg,openssl   rsautl(man rsautl)

数据签名:

算法:RSA,DSA,ELGamal

密钥交换

算法:df

DSA

DSS

RSA

生成密钥对:man genrsa

生成私钥

[root@centos7 app]# openssl genrsa -out centos6.key 1024  私钥文件不安全

[root@centos7 app]# (umask 066;openssl  genrsa -out centos6.key 1024)  066对文件最大权限666,减去066,600都是偶数也不用加1

[root@centos7 app]# (umask 066;openssl  genrsa -out centos6.key2 -des3 4096)  对称加密,即加上密码(只有root权限)

[root@centos7 app]# openssl rsa -in  centos6.key2 -out centos6.key2.out  将加密key解密

从私钥文件中,把公钥提取出来

[root@centos7 app]# openssl rsa -in  centos6.key -pubout -out centos6.key.pub

[root@centos7 app]# openssl rsa -in  centos6.key2 -pubout -out centos6.key.pub2

随机数生成器:

键盘和鼠标,块设备中断

/dev/random 仅从熵池返回随机数;随机数用尽,阻塞

/dev/urandom从熵池返回随机数;随机数用尽,会利用软件生成伪随机数非阻塞

[root@centos7 ~]# cat /dev/urandom |tr -dc ‘[:alnum:]’ |head -c 10

[root@centos7 ~]# openssl rand -base64 12 |head -c 10

Head 用于显示文件的开头的内容,-c 指定显示头部内容的字符数

 

Tr用来自标准输入的字符进行替换、压缩和删除、

-c 取代所有不属于第一字符集的字符(即取补集)

-d 删除所有属于第一字符集中的字符

 

PKI: Public Key Infrastructure  公共密钥架构

CA 证书的颁发机构

RA 证书的申请机构

CRL 证书吊销列表

证书的存取库

建立私有CA

OpenCA

Openssl

证书申请及签署步骤

  1. 生成申请请求
  2. RA核验
  3. CA核验
  4. 获取证书

搭建CA

搭建ca时,需要自己建立私钥,需要有根ca,第一个ca,就相当于根ca,根ca的证书是自己给自己颁发的,自签名的证书,建立公钥私钥对,通过私钥来自己向自己颁发证书,,,第一步,建立自己的ca,客户端向ca申请证书,

生成文件,填写必要信息,国家,省,域;RA检查信息,收集请求,没问题之后;CA签署,客户端获取证书后就

可以使用了,可以放在web服务器上将来实现web https的应用程序加密

 

创建私有CA

Openssl的配置文件:/etc/pki/tls/openssl.cnf

Centos7  改ip地址

看ip地址,nmcli connection

改ip地址,nmcli connection modify ens33 ipv4.addresses 192.168.27.7 /24

让该地址生效,nmcli connection up ens33

三种策略:匹配、支持和可选

匹配指要求填写的信息跟CA设置信息必须一致,支持指必须填写这项申请信息,可选指可有可无

1创建所需要的文件

touch  /etc/pki/CA/index.txt  生成证书索引数据库文件

echo 01 > /etc/pki/CA/serial   指定第一个颁发证书的序列号

2CA自签证书

生成私钥

cd /etc/pki/CA  CA工作的主目录

(umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)     私钥文件/private/cakey.pem

生成自签名证书,从私钥下生成自签名证书

[root@centos7 CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650

(证书里面是放公钥的)

Openssl req -new -x509 -key

/etc/pki/CA/private/cakey.pem -days  7300  -out            7300有效期

/etc/pki/CA/cacert.pem

-new 生成新证书签署请求

-x509 专用于CA生成自签证书

-key 生成请求时用到的私钥文件

-days n 证书的有效期限

-out 证书的保存路径

-x509 加这个,表示自己给自己颁发证书    不加,表示向CA申请证书,

查看证书信息

[root@centos7 CA]# openssl x509 -in cacert.pem -noout -text

 

客户端centos6向centos7申请证书

第一步,自己有私钥,比如将来给http服务用的,我们要生成私钥文件,利用私钥文件生成证书申请,也是一个文件,拷贝到centos7上,CA颁发证书,也生成一个文件,复制回到centos6,意味着centos6有三个文件,私钥文件,请求文件,最终的证书文件,   其中搭建http的加密应用,需要用到两个文件,私钥文件和证书文件

第一步,生成私钥文件

(umask 066;openssl genrsa -out app.key 1024)

第二步,利用私钥文件生成证书申请请求

[root@Centos6 ~]# openssl req -new -key app.key -out app.pem   生成证书申请文件

[root@Centos6 ~]# mv app.pem app.csr        改名字

[root@Centos6 ~]# scp app.csr 192.168.27.8:/etc/pki/CA      传递给centos7 证书申请,等待颁发

[root@centos7 CA]# openssl ca -in app.csr -out certs/app.crt -days 730  对申请,颁发证书,,对申请生成证书文件

[root@centos7 CA]# touch index.txt

[root@centos7 CA]# echo  0F > /etc/pki/CA/serial  序列号

[root@centos7 CA]# openssl ca -in app.csr -out certs/app.crt -days 730

[root@centos7 CA]#  scp certs/app.crt 192.168.27.120:/app   导入centos6

 

在客户端查看证书

[root@Centos6 app]# openssl x509 -in /app/app.crt -noout -text

吊销证书

Openssl ca -revoke newcerts/11.pem

生成证书吊销列表

第一步Echo 0F > /etc/pki/CA/crlnumber 生成相关文件

第二步Openssl ca -gencrl -out crl.pem  生成证书吊销列表

 

 

总结创建CA

搭建根CA ,根CA的创建有两步

第一步,建立两个必要的文件,

第二步,生成私钥给自己签名 ;生成私钥文件,生成自签名文件

 

在另外一台机器上,生成私钥, 向CA申请证书,填写信息 生成请求文件csr,复制到CA,然后CA颁发证书

 

本文来自投稿,不代表Linux运维部落立场,如若转载,请注明出处:http://www.178linux.com/90993

(0)
sunchunjiangsunchunjiang
上一篇 2018-01-09 17:59
下一篇 2018-01-10

相关推荐

  • DNS原理详解02

    9、子域授权     1、在父域的区域配置文件中增加以下记录,即为增加了子域授权            opt.patrickli.com.         IN      NS     &…

    Linux干货 2016-08-29
  • 计算机的组成以及OS的发展历程

        根据冯诺依曼提出的体系架构,计算机基本上可以分为五大部件。这五大部件分别为运算器,控制器,内存,输入设备与输出设备,其中运算器与控制器是CPU的重要组成部分。下面分别介绍这5大部件:     CPU:运算器、控制器、寄存器、缓存      &…

    Linux干货 2016-10-30
  • N25第八周博客作业

    1、写一个脚本,使用ping命令探测172.16.250.1-172.16.250.254之间的所有主机的在线状态;     在线的主机使用绿色显示;     不在线的主使用红色显示; #!/bin/bash trap ‘mytrap’ INT mytra…

    Linux干货 2017-02-26
  • 文件的权限、扩展属性以及facl

    大纲: 一、前言 二、普通权限 三、特殊权限 四、ext文件的扩展属性 五、文件的访问控制列表(facl) 一、前言 linux中常见的权限有读(r)、写(w)、执行(x),还有3个特殊的权限。因此下面就从普通权限开始介绍起 二、普通权限 rwx:读 写 执行 rwxr-xr-x : 读写执行 读_执行 读_执行  (分别对应)属主 属组…

    Linux干货 2015-05-04
  • linux系统用户管理和grep正则表达式练习

    1、复制/etc/skel目录为/home/tuser1,要求/home/tuser1及其内部文件的属组和其它用户均没有任何访问权限。 [root@suywien ~]# cp -rpv /etc/skel/ /home/tuser1/ ‘/etc/skel/’ -> ‘/home/tuser1/’ ‘/etc/skel/.mozilla’ ->…

    Linux干货 2018-03-25
  • 硬盘分区MBR和GPT选哪个好?有什么区别?

    当前主流的硬盘分区方式有两种:MBR和GPT。 一、MBR与GPT简介与结构 什么是MBR?         MBR,全称为Master Boot Record,即硬盘的主引导记录。是对IBM兼容机的硬盘或者可移动磁盘分区时,在驱动器最前端的一段引导扇区。 MBR的组成部分       &…

    Linux干货 2016-08-29