加密解密基础

  1. 对称加密: 加密和解密使用同一个密钥

    常见的加密算法有:DES、3DES、AES、Blowfish、Twofish、IDEA、RC6、CAST5

    特性:

      1. 加密、解密使用同一个密钥

      2.将原始数据分隔成固定大小的块,逐个进行加密

    缺陷:

      1. 密钥过多

      2. 密钥分发困难

  2. 公钥加密: 密钥是成对出现的

    公钥:pubkey,公开给所有人

    私钥:secret key, 自己留存,必须保证其私密性

    常见的加密算法有: RSA、DSA(只能用于数字签名,不能用于数据加密), ELGamal

      特点: 用公钥加密的数据,只能使用与之配对的私钥解密,反之亦然

  3. 单向加密: 只能加密,不能解密,用来提取数据特征码,验证数据完整性

    常见加密算法有:MD5、SHA1、SHA224、SHA256、SHA384、SHA512

      特性: 定长输出,雪崩效应,一个小的改变,加密后的密钥就大不同

  密钥交换(IKE): 常见的有公钥加密、DH(Deffie-Hellman)来实现密钥交换

PKI: Public Key Infrastructure 公钥基础设施

  主要组件:  

     签证机构:CA

   注册机构:RA

   证书吊销列表: CRL

   证书存取库

    目前签发的证书:x.509

     x.509: 定义了证书的结构以及认证协议标准:

            版本号

             序列号

            签署算法ID

            有效期限

            发行者名称

            主体名称

            主体公钥

            发行者唯一标识

            主体的唯一标识

            扩展

            发行者签名

SSL:Secure Socket Layer, 安全的套接字层

TLS: Transport Layer Security  

openssl:开源项目

  三个组件:   

  openssl: 多用途的命令行工具

  libcrypto: 公共加密库

  libssl: 库,实现了ssl及tls

openssl命令:配置文件: /etc/pki/tls/openssl.conf  

openssl version: 查看程序版本号

  常见的标准命令有enc、ca、req

  对称加密:

    工具: openssl enc, gpg    

加密: # openssl enc -e -des3 -a -salt -in /PATH/FROM/SOMEFILE -out /PATH/TO/SOMEFILE

解密: # openssl enc -d -dec3 -a -salt -in /PATH/FORM/SOMEFILE -OUT /PATH/TO/SOMEFILE

  单向加密:

    工具:openssl dgst, md5sum,sha1sum,sha224sum,sha256sum...

 加密: openssl dgst -md5 /PATH/TO/SOMEFILE

  生成用户密码:passwd

  # openssl passwd -1 -salt SALT

  生成随机数:rand

  # openssl rand -base64|-hex NUM

      NUM:表示字节数;-hex时,每个字符4位,出现的字符数为NUM*2

  公钥加密:

    加密: RSA, ELGamal

    工具:gpg, openssl, rsautil

加密私钥:# (umask 077; openssl genrsa -out private.key 2048)

提取公钥:# openssl rsa -in private -pubout

创建私有CA

  1. 创建所需要的文件 

# touch index.txt

# echo 01 > serial

  2.CA自签证书

#(umask 077;openssl genrsa -out  /etc/pki/CA/private.pem 2048)
# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/casert.pem
    -new: 生成新证书签署请求
    -x509: 专用于CA生成自签证书
    -key: 生成请求时用到的私钥文件
    -days n : 证书的有效期限
    -out /PATH/TO/SOMECERTFILE: 证书的保持路径

  3. 发证

   a. 用到证书的主机生成证书请求 

# (umask 077;openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

# openssl -req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr

   b. 把请求文件传输给CA

# scp /etc/httpd/ssl/httpd.csr root@192.168.1.103:/tmp/

   c. CA签署证书,并将证书发还给请求者

# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
  
  查看证书中的信息
    # openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|-subject|-serial

  4. 吊销证书

    a. 获取要吊销的证书的serial 

# openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

  b. CA

      先根据客户端提交的serial与subject信息对比检验是否与index.txt文件中的信息一致

      吊销证书:

# openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
    c. 生成吊销证书的编号(第一次吊销一个证书)    
# ech 01 > /etc/pki/CA/crlnumber

     d. 更新证书吊销列表 

 # openssl ca -gencrl -out thisca.crl

       查看crl文件

# openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text 

      

linux基础之加密解密、PKI及SSL、创建私有CA的更多相关文章

  1. 创建私有CA, 加密解密基础, PKI, SSL

    发现了一篇图文并茂的超棒的  加密解密, CA, PKI, SSL 的基础文章, 链接如下:https://blog.csdn.net/lifetragedy/article/details/5223 ...

  2. Linux下OpenSSL加密解密压缩文件(AES加密压缩文件)

    OpenSSL是一个开源的用以实现SSL协议的产品,它主要包括了三个部分:密码算法库.应用程序.SSL协议库.Openssl实现了SSL协议所需要的大多数算法.下面介绍使用Openssl进行文件的对称 ...

  3. linux SElinux防护 加密解密 gpg签名与认证

    SElinux Security-Enhanced Linux由美国国家安全局主导开发一套强化linux安全的mac扩展模块 selinux的运作机制:集成到linux内核上(2.6及以上)操作系统提 ...

  4. AES加密、解密(linux、window加密解密效果一致,支持中文)

    转自: http://sunfish.iteye.com/blog/2169158 import java.io.UnsupportedEncodingException; import java.s ...

  5. 6、Linux基础--文件类型、属性信息、创建用户与用户组

    笔记 1.晨考 1.解析映射文件 /etc/hosts 2.磁盘挂载文件 /etc/fstab 3.设置开机自启动脚本的步骤 1.修改/etc/rc.local 2.设置可执行权限 chmod +x ...

  6. ssl协议,openssl,创建私有CA

    SSL是Security Socket Layer:安全的套接字层 他介于HTTP和TCP协议层之间 SSL是Netscape公司开发的,属于个人 TLS是标准委员会制定的 OpenSSL是SSL的开 ...

  7. 【linux基础】第九周作业

    1.详细描述一次加密通讯的过程,结合图示最佳. 加密通讯:A <--> B 1)A与 B通信,首先A.B双方都应该持有对方的公钥,即证书,并验证证书的合法性. 2)加密: i.     A ...

  8. Linux 加密安全和私有CA的搭建方法

    常用安全技术 3A: 认证:身份确认 授权:权限分配 审计:监控做了什么 安全通信 加密算法和协议 对称加密: 非对称加密 单向加密:哈希(hash)加密 认证协议 对称加密: 加密和解密使用的是同一 ...

  9. php使用openssl进行Rsa长数据加密(117)解密(128) 和 DES 加密解密

    PHP使用openssl进行Rsa加密,如果要加密的明文太长则会出错,解决方法:加密的时候117个字符加密一次,然后把所有的密文拼接成一个密文:解密的时候需要128个字符解密一下,然后拼接成数据. 加 ...

随机推荐

  1. Machine Learning, Homework 9, Neural Nets

    Machine Learning, Homework 9, Neural NetsApril 15, 2019ContentsBoston Housing with a Single Layer an ...

  2. 2018-2019-2 《网络对抗技术》Exp0 Kali安装 Week1 20165225

    2018-2019-2 <网络对抗技术>Exp0 Kali安装 Week1 20165225 - 上Kali官网选择Kali Linux 64 bit的torrent,用迅雷解压即可 安装 ...

  3. vi命令复制粘贴

    2.复制粘贴 yy :复制当前行 p :粘贴到光标所在行的下一行

  4. python数组相关知识

    1.np中的reshape函数,可以把矩阵重新划分成m行n列. arange(n)可以把 [0,n-1]装入数组中,一定要注意的是img.reshape()并不会改变原来的数组,所以需要另外新建一个数 ...

  5. MongoDB系列----查

    开启查询: db.getMongo().setSlaveOk() 查版本: db.servion(); db.serverBuildInfo(); db.serverStatus().storageE ...

  6. [TJOI2009]猜数字

    题目描述 现有两组数字,每组k个,第一组中的数字分别为:a1,a2,...,ak表示,第二组中的数字分别用b1,b2,...,bk表示.其中第二组中的数字是两两互素的.求最小的非负整数n,满足对于任意 ...

  7. CentOS 7 MySQL HA之DRBD

    一.DRBD简介 DRBD的全称为:Distributed ReplicatedBlock Device(DRBD)分布式块设备复制,DRBD是由内核模块和相关脚本而构成,用以构建高可用性的集群.其实 ...

  8. 通过js或jq增加的代码,点击事件或其他一些事件不起作用时

    通过js或jq增加的代码,点击事件或其他一些事件不起作用时,可使用 $(document).on("click",".noshow",function() { ...

  9. HDFS的Java客户端编写

    总结: 之前在教材上看hdfs的Java客户端编写,只有关键代码,呵呵…….闲话不说,上正文. 1. Hadoop 的Java客户端编写建议在linux系统上开发 2. 可以使用eclipse,ide ...

  10. Excel坐标自动在AutoCad绘图_6

    众所周知,Excel对数据处理的功能非常强大,它可以进行数据处理.统计分析已经辅助决策的操作,该软件已经渗透到各个领域.作为一个测绘人,GISer, 也经常利用excel完成一些测量表格的自动化计算, ...