加密解密基础

  1. 对称加密: 加密和解密使用同一个密钥

    常见的加密算法有:DES、3DES、AES、Blowfish、Twofish、IDEA、RC6、CAST5

    特性:

      1. 加密、解密使用同一个密钥

      2.将原始数据分隔成固定大小的块,逐个进行加密

    缺陷:

      1. 密钥过多

      2. 密钥分发困难

  2. 公钥加密: 密钥是成对出现的

    公钥:pubkey,公开给所有人

    私钥:secret key, 自己留存,必须保证其私密性

    常见的加密算法有: RSA、DSA(只能用于数字签名,不能用于数据加密), ELGamal

      特点: 用公钥加密的数据,只能使用与之配对的私钥解密,反之亦然

  3. 单向加密: 只能加密,不能解密,用来提取数据特征码,验证数据完整性

    常见加密算法有:MD5、SHA1、SHA224、SHA256、SHA384、SHA512

      特性: 定长输出,雪崩效应,一个小的改变,加密后的密钥就大不同

  密钥交换(IKE): 常见的有公钥加密、DH(Deffie-Hellman)来实现密钥交换

PKI: Public Key Infrastructure 公钥基础设施

  主要组件:  

     签证机构:CA

   注册机构:RA

   证书吊销列表: CRL

   证书存取库

    目前签发的证书:x.509

     x.509: 定义了证书的结构以及认证协议标准:

            版本号

             序列号

            签署算法ID

            有效期限

            发行者名称

            主体名称

            主体公钥

            发行者唯一标识

            主体的唯一标识

            扩展

            发行者签名

SSL:Secure Socket Layer, 安全的套接字层

TLS: Transport Layer Security  

openssl:开源项目

  三个组件:   

  openssl: 多用途的命令行工具

  libcrypto: 公共加密库

  libssl: 库,实现了ssl及tls

openssl命令:配置文件: /etc/pki/tls/openssl.conf  

openssl version: 查看程序版本号

  常见的标准命令有enc、ca、req

  对称加密:

    工具: openssl enc, gpg    

加密: # openssl enc -e -des3 -a -salt -in /PATH/FROM/SOMEFILE -out /PATH/TO/SOMEFILE

解密: # openssl enc -d -dec3 -a -salt -in /PATH/FORM/SOMEFILE -OUT /PATH/TO/SOMEFILE

  单向加密:

    工具:openssl dgst, md5sum,sha1sum,sha224sum,sha256sum...

 加密: openssl dgst -md5 /PATH/TO/SOMEFILE

  生成用户密码:passwd

  # openssl passwd -1 -salt SALT

  生成随机数:rand

  # openssl rand -base64|-hex NUM

      NUM:表示字节数;-hex时,每个字符4位,出现的字符数为NUM*2

  公钥加密:

    加密: RSA, ELGamal

    工具:gpg, openssl, rsautil

加密私钥:# (umask 077; openssl genrsa -out private.key 2048)

提取公钥:# openssl rsa -in private -pubout

创建私有CA

  1. 创建所需要的文件 

# touch index.txt

# echo 01 > serial

  2.CA自签证书

#(umask 077;openssl genrsa -out  /etc/pki/CA/private.pem 2048)
# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/casert.pem
    -new: 生成新证书签署请求
    -x509: 专用于CA生成自签证书
    -key: 生成请求时用到的私钥文件
    -days n : 证书的有效期限
    -out /PATH/TO/SOMECERTFILE: 证书的保持路径

  3. 发证

   a. 用到证书的主机生成证书请求 

# (umask 077;openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

# openssl -req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr

   b. 把请求文件传输给CA

# scp /etc/httpd/ssl/httpd.csr root@192.168.1.103:/tmp/

   c. CA签署证书,并将证书发还给请求者

# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
  
  查看证书中的信息
    # openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|-subject|-serial

  4. 吊销证书

    a. 获取要吊销的证书的serial 

# openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

  b. CA

      先根据客户端提交的serial与subject信息对比检验是否与index.txt文件中的信息一致

      吊销证书:

# openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
    c. 生成吊销证书的编号(第一次吊销一个证书)    
# ech 01 > /etc/pki/CA/crlnumber

     d. 更新证书吊销列表 

 # openssl ca -gencrl -out thisca.crl

       查看crl文件

# openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text 

      

linux基础之加密解密、PKI及SSL、创建私有CA的更多相关文章

  1. 创建私有CA, 加密解密基础, PKI, SSL

    发现了一篇图文并茂的超棒的  加密解密, CA, PKI, SSL 的基础文章, 链接如下:https://blog.csdn.net/lifetragedy/article/details/5223 ...

  2. Linux下OpenSSL加密解密压缩文件(AES加密压缩文件)

    OpenSSL是一个开源的用以实现SSL协议的产品,它主要包括了三个部分:密码算法库.应用程序.SSL协议库.Openssl实现了SSL协议所需要的大多数算法.下面介绍使用Openssl进行文件的对称 ...

  3. linux SElinux防护 加密解密 gpg签名与认证

    SElinux Security-Enhanced Linux由美国国家安全局主导开发一套强化linux安全的mac扩展模块 selinux的运作机制:集成到linux内核上(2.6及以上)操作系统提 ...

  4. AES加密、解密(linux、window加密解密效果一致,支持中文)

    转自: http://sunfish.iteye.com/blog/2169158 import java.io.UnsupportedEncodingException; import java.s ...

  5. 6、Linux基础--文件类型、属性信息、创建用户与用户组

    笔记 1.晨考 1.解析映射文件 /etc/hosts 2.磁盘挂载文件 /etc/fstab 3.设置开机自启动脚本的步骤 1.修改/etc/rc.local 2.设置可执行权限 chmod +x ...

  6. ssl协议,openssl,创建私有CA

    SSL是Security Socket Layer:安全的套接字层 他介于HTTP和TCP协议层之间 SSL是Netscape公司开发的,属于个人 TLS是标准委员会制定的 OpenSSL是SSL的开 ...

  7. 【linux基础】第九周作业

    1.详细描述一次加密通讯的过程,结合图示最佳. 加密通讯:A <--> B 1)A与 B通信,首先A.B双方都应该持有对方的公钥,即证书,并验证证书的合法性. 2)加密: i.     A ...

  8. Linux 加密安全和私有CA的搭建方法

    常用安全技术 3A: 认证:身份确认 授权:权限分配 审计:监控做了什么 安全通信 加密算法和协议 对称加密: 非对称加密 单向加密:哈希(hash)加密 认证协议 对称加密: 加密和解密使用的是同一 ...

  9. php使用openssl进行Rsa长数据加密(117)解密(128) 和 DES 加密解密

    PHP使用openssl进行Rsa加密,如果要加密的明文太长则会出错,解决方法:加密的时候117个字符加密一次,然后把所有的密文拼接成一个密文:解密的时候需要128个字符解密一下,然后拼接成数据. 加 ...

随机推荐

  1. 你应当如何学习C++以及编程(细节是必要的,但不是重要的,把时间用在集中精力去解决问题,而不是学习新技术,那样练不成高手。在实践中提高才是最重要的。最最重要的内功还是长期学习所磨练出来的自学能力)good

    最近在学习Qt但由于没有C++的基础,感觉学的很吃力.看到pongba的这篇文章感觉不错就弄过来了, 原文地址:http://blog.csdn.net/qter_wd007/article/deta ...

  2. linux上磁盘的操作相关命令

    1.查看磁盘IO负载 - 看哪些进程在读写磁盘 lsof /dev/sda2 |head

  3. 骑士(树形dp)

    题意:给你一个基环树森林,每个点有一个权值,一条边上的两个节点不能同时选择.选取任意个节点,求最大权值和 对于每颗基环树:找环→断边→树形dp(没有上司的舞会) #include<iostrea ...

  4. 透过实现小型打包工具理解webpack

    面试经常有问到 webpack,偶遇一篇比较有实用价值的且有利于理解的文章,现总结如下: 本篇文章中要实现的这个迷你打包工具,它主要能实现如下两个功能: ①.将 ES6 转换成 ES5: ②.支持在 ...

  5. UML用例关系一览

  6. what's the 白盒测试

    what's the 白盒测试 白盒测试又称结构测试.透明盒测试.逻辑驱动测试或基于代码的测试.盒子指的是被测试的软件,白盒指的是盒子是可视的,你清楚盒子内部的东西以及里面是如何运作的.白盒要考虑测试 ...

  7. ADB——管理应用

    ADB应用管理 主要操作有查看应用列表.安装应用.卸载应用.清楚应用数据与缓存.查看前台Activity.查看应用信息及安装路径等等 查看应用列表 查看应用列表的基本命令格式是 adb shell p ...

  8. CDIE2019中国数字化创新展暨首席信息官峰会上海站来袭~

    China Digital Innovation Expo & CIO Summit 2019是由Dot Connector(上海华昂商务咨询有限公司)主办的第五届聚焦中国技术领袖,探索创新, ...

  9. 关于表情的战争APP隐私政策网址

    本软件尊重并保护所有使用服务用户的个人隐私权.为了给您提供更准确.更有个性化的服务,本软件会按照本隐私权政策的规定使用和披露您的个人信息.但本软件将以高度的勤勉.审慎义务对待这些信息.除本隐私权政策另 ...

  10. C语言第02次作业--循环结构

    1.本章学习总结 1.1思维导图 1.2本章学习体会及代码量学习体会 1.2.1学习体会 1- 经过这两周的学习,我深切地体会C语言非常的难(对于我而言).大部分情况都是题目不理解和没有思路,或者编译 ...