密钥和公钥

安全协议和搭建CA

安全协议

SSL:secure socket layer

TLS:transport layer security

功能:机密性,认证,完整性,重放保护

两阶段协议:分为握手阶段和应用阶段

握手阶段(协商阶段):客户端和服务端认证对方身份(依赖于PKI体系,利用数字证书进行身份认证),并协商通信中使用的安全参数、密码套件以及主密钥。后续通信使用的所有密钥都是通过MAstersecret生成。

应用阶段:在握手阶段完成后进入与,在应用阶段通信双方使用握手阶段协商好的密钥进行安全通信

在实现通讯的时候,加密过程怎么来实现的,

客户端,发一个hello消息,我要和你通讯,服务器端也打声招呼hello,我收到你的消息了,双方开始一些数据交换,其中最重要的就是把服务器的证书发给他,证书包括CA签过名的公钥,一般来讲客户端信任CA,即客户端拿到了CA的公钥,服务器发过来的证书包括CA颁发给服务器的证书,即私钥签过名服务器的证书,客户端就可以拿CA的公钥把证书里面的签过名的私钥的信息解密,解密之后得到服务器的公钥,

 

京东向CA申请证书,证书包括,Sca(Pa)+CA+A+expire

 

客户端想访问京东,京东先把证书传给客户,客户端拿到证书,由于客户信任CA,即客户端拿到了京东的公钥Pca,

CA的公钥拿到了,我们就可以把CA签过名的私钥签名的东西给解开,就得到了A的公钥,

之后,客户端在自己的浏览器自动生成一把对称的密钥,用京东的公钥加密,再发回给京东,

Pjd(key)—–>jd.com 京东的公钥是证书里面包的,解开之后得到的, 京东有自己的私钥,就可以解开,拿到客户端的对称密钥,双方都有了对称密钥,以后就可以用对称数据加密传输

Key(data)—->

<—–key(data) 双方都有密钥,就可以通讯,

访问HTTPS网站的原理

 

https:

1 client hello—> server客户端发消息连一下

2 server cert:Sca(Pserver)—>client服务器把自己的证书传给客户端

3 client Pca[Sca(Pserver)]=Pserver客户端事先有ca的公钥,就可以解开,得到服务器的公钥

4 client key随机生成,对称公钥

5 client Pserver(key)—>server用刚才解密出来的服务器公钥加密,

6 server Sserver[Pserver(key)]=key服务器用自己的私钥解密,得到key

7 client<—key(data)—>server

 

CA证书 格式

PKI:

X.509:定义了证书的结构以及认证协议标准

支持ssl的功能的开源项目:openssl

三个组件:OpenSSL:多用途的命令行工具

Libcrypto:加密算法库,包openssl-libs

Libssl:加密模块应用库,实现了ssl及tls。包nss

Openssl命令:

两种运行模式:交互式模式和批处理模式

Openssl version:程序版本号

标准命令、消息摘要命令、加密命令

标准命令:enc,ca,req

查看帮助,man dgst

Man enc

Openssl命令实现对称密钥加密

[root@centos7 app]# openssl enc -e -des3 -a -salt -in fstab -out fstab.des3

Enc对称密钥加密,-e表示要加密,-des3加密算法,-in表示对哪个文件操作-out输出文件名,

-a是一种格式,base64 编码 A-Za-z0-9+/ 共64个 000000-111111

[root@centos7 app]# scp fstab.des3 192.168.27.120:/app/ 传到另一个主机

 

[root@Centos6 app]# openssl enc -d -des3 -a -salt -in fstab.des3 解密

 

Hash运算 支持hash运算 和md5运算一样

[root@centos7 app]# openssl dgst -md5 fstab

MD5(fstab)= 5ee6b24e978dd663a191a50d7b36eb81

[root@centos7 app]# md5sum fstab

5ee6b24e978dd663a191a50d7b36eb81 fstab

 

生成用户密码:passwd命令

帮助:man sslpasswd

[root@centos7 app]# openssl passwd -1 -salt

生成随机数

帮助:man sslrand

Openssl rand -base64|-hex NUM

NUM:表示字节数;-hex时,每个字符为十六进制,相当于4位二进制,出现的字符数为num*2

[root@centos7 app]# openssl rand -base64 10

0sVbokguIMl55g==

[root@centos7 app]# openssl rand -hex 2 两个字节

f1ef 两个字节占四位十六进制数,一个十六进制数相当于四位,

 

打包tar jcvf script27.tar.xz /home/wang

Sz script27.tar.xz

Rz

公钥加密

算法:RSA. ELGamal

工具:gpg,openssl rsautl(man rsautl)

数据签名:

算法:RSA,DSA,ELGamal

密钥交换

算法:df

DSA

DSS

RSA

生成密钥对:man genrsa

生成私钥

[root@centos7 app]# openssl genrsa -out centos6.key 1024 私钥文件不安全

[root@centos7 app]# (umask 066;openssl genrsa -out centos6.key 1024) 066对文件最大权限666,减去066,600都是偶数也不用加1

[root@centos7 app]# (umask 066;openssl genrsa -out centos6.key2-des34096) 对称加密,即加上密码(只有root权限)

[root@centos7 app]# openssl rsa -in centos6.key2 -out centos6.key2.out 将加密key解密

从私钥文件中,把公钥提取出来

[root@centos7 app]# openssl rsa -in centos6.key -pubout -out centos6.key.pub

[root@centos7 app]# openssl rsa -in centos6.key2 -pubout -out centos6.key.pub2

随机数生成器:

键盘和鼠标,块设备中断

/dev/random 仅从熵池返回随机数;随机数用尽,阻塞

/dev/urandom从熵池返回随机数;随机数用尽,会利用软件生成伪随机数非阻塞

[root@centos7 ~]# cat /dev/urandom |tr -dc ‘[:alnum:]’ |head -c 10

[root@centos7 ~]# openssl rand -base64 12 |head -c 10

Head 用于显示文件的开头的内容,-c 指定显示头部内容的字符数

 

Tr用来自标准输入的字符进行替换、压缩和删除、

-c 取代所有不属于第一字符集的字符(即取补集)

-d 删除所有属于第一字符集中的字符

 

PKI: Public Key Infrastructure 公共密钥架构

CA 证书的颁发机构

RA 证书的申请机构

CRL 证书吊销列表

证书的存取库

建立私有CA

OpenCA

Openssl

证书申请及签署步骤

  1. 生成申请请求
  2. RA核验
  3. CA核验
  4. 获取证书

搭建CA

搭建ca时,需要自己建立私钥,需要有根ca,第一个ca,就相当于根ca,根ca的证书是自己给自己颁发的,自签名的证书,建立公钥私钥对,通过私钥来自己向自己颁发证书,,,第一步,建立自己的ca,客户端向ca申请证书,

生成文件,填写必要信息,国家,省,域;RA检查信息,收集请求,没问题之后;CA签署,客户端获取证书后就

可以使用了,可以放在web服务器上将来实现web https的应用程序加密

 

创建私有CA

Openssl的配置文件:/etc/pki/tls/openssl.cnf

Centos7 改ip地址

看ip地址,nmcli connection

改ip地址,nmcli connection modify ens33 ipv4.addresses 192.168.27.7 /24

让该地址生效,nmcli connection up ens33

三种策略:匹配、支持和可选

匹配指要求填写的信息跟CA设置信息必须一致,支持指必须填写这项申请信息,可选指可有可无

1创建所需要的文件

touch /etc/pki/CA/index.txt 生成证书索引数据库文件

echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号

2CA自签证书

生成私钥

cd /etc/pki/CA CA工作的主目录

(umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048) 私钥文件/private/cakey.pem

生成自签名证书,从私钥下生成自签名证书

[root@centos7 CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650

(证书里面是放公钥的)

Openssl req -new -x509 -key

/etc/pki/CA/private/cakey.pem -days 7300 -out 7300有效期

/etc/pki/CA/cacert.pem

-new 生成新证书签署请求

-x509 专用于CA生成自签证书

-key 生成请求时用到的私钥文件

-days n 证书的有效期限

-out 证书的保存路径

-x509 加这个,表示自己给自己颁发证书 不加,表示向CA申请证书,

查看证书信息

[root@centos7 CA]# openssl x509 -in cacert.pem -noout -text

 

客户端centos6向centos7申请证书

第一步,自己有私钥,比如将来给http服务用的,我们要生成私钥文件,利用私钥文件生成证书申请,也是一个文件,拷贝到centos7上,CA颁发证书,也生成一个文件,复制回到centos6,意味着centos6有三个文件,私钥文件,请求文件,最终的证书文件, 其中搭建http的加密应用,需要用到两个文件,私钥文件和证书文件

第一步,生成私钥文件

(umask 066;openssl genrsa -out app.key 1024)

第二步,利用私钥文件生成证书申请请求

[root@Centos6 ~]# openssl req -new -key app.key -out app.pem 生成证书申请文件

[root@Centos6 ~]# mv app.pem app.csr 改名字

[root@Centos6 ~]# scp app.csr 192.168.27.8:/etc/pki/CA 传递给centos7 证书申请,等待颁发

[root@centos7 CA]# openssl ca -in app.csr -out certs/app.crt -days 730 对申请,颁发证书,,对申请生成证书文件

[root@centos7 CA]# touch index.txt

[root@centos7 CA]# echo 0F > /etc/pki/CA/serial 序列号

[root@centos7 CA]# openssl ca -in app.csr -out certs/app.crt -days 730

[root@centos7 CA]# scp certs/app.crt 192.168.27.120:/app 导入centos6

 

在客户端查看证书

[root@Centos6 app]# openssl x509 -in /app/app.crt -noout -text

吊销证书

Openssl ca -revoke newcerts/11.pem

生成证书吊销列表

第一步Echo 0F > /etc/pki/CA/crlnumber 生成相关文件

第二步Openssl ca -gencrl -out crl.pem 生成证书吊销列表

 

总结创建CA

搭建根CA ,根CA的创建有两步

第一步,建立两个必要的文件,

第二步,生成私钥给自己签名 ;生成私钥文件,生成自签名文件

 

在另外一台机器上,生成私钥, 向CA申请证书,填写信息 生成请求文件csr,复制到CA,然后CA颁发证书

 

本文来自投稿,不代表Linux运维部落立场,如若转载,请注明出处:/90993

发表评论

登录后才能评论

联系我们

400-080-6560

在线咨询:点击这里给我发消息

邮件:1823388528@qq.com

工作时间:周一至周五,9:30-18:30,节假日同时也值班

友情链接:万达娱乐招商QQ  万达娱乐直属QQ  测试  万达娱乐注册  万达娱乐开户  万达主管  guoqibee.com  万达招商  万达娱乐主管QQ  万达娱乐注册