在互联网通信中,比如QQ、MSN等等,如果我们进行交谈的内容没有被加密,这样的话别人都可以随访问了,这是不合适的,所有我们就要对我们通信的内容进行加密,然后再进行通信就相对比较安全了
在互联网上数据传输有两种:明文传输和加密传输。明文传输的协议有:ftp、http、smtp、telnet。但是为了数据的完整性和安全性,所以后来引用了加密等相关手段来保证数据的安全和完整性。加密类型
DES, 3DES, AES
身份验证:私钥加密,公钥解密数据发送:公钥加密,私钥解密RSADSSmd5,sha1,sha256,sha512
那么一个完整的数据发送是怎么样一个过程呢?
1、发送方使用选定的单向加密算法计算原始数据的特征码;
2、发送方使用自己的私钥加密特征码,附加于原始数据后面;
3、发送方生成一次性对称密钥,并使用此密钥加密数据(原始数据+加密后的特征码);
4、发送方使用接收方的公钥加密一次性对称密钥,附加于加密数据后面
5、发送;
1、接收方使用自己的私钥解密加密的一次性对称密钥;
2、使用对称密钥解密数据,得到加密的特征码和原始数据;
3、使用发送方的公钥解密加密的特征码;
4、使用与发送方相同的单向加密算法重新计算数据的特征码,并与解密出的特征做比较
对于非对称加密而言,获取对方的公钥非常关键,最简单的就是自己建一个站点,把
自己的公钥公布出去,但是别人在获得的时候,怎么能确保这公钥就是公布者的呢?
所以简单的公钥分发机制已经不能保证公钥来源合法性了,于是就有了分布式分发机制,最常见的就是数字证书了
数字证书 我们为什么要用到数字证书呢?大家想象一下,我们要进行通信的时候,怎么去保证对方一定是我们想要进行交流的那个人呢?做数字签名?那么怎么保证这数字签名是合法的呢?这时候就需要第三方机构,分发一种大家都认可的数字证书,比如说,当我们看到对方的数字证书的时候,是不是就确定了对方的身份了?数字证书的格式: 数字证书:x.509v3(常用的) 版本号(version) 序列号():证书本身在CA中惟一标识; 签名算法标志 // 让使用者确定使用的哪种数据加密算法,以用来验证证书合法性 发行者名称 有效期: 证书主体名称:(组织(主机),个人) 证书主体公钥信息: 发行商惟一标志 证书主体的惟一标志扩展: 签名:PKI(Public Key Infrastructure)它是一种规范,定义了一个CA所具有的的机构
组成部分:
端实体(申请者)
注册机构(RC)
签证机构(CA)–>签证机构(CA)
证书撤消列表(CRL)发布机构
证书存取库
那我们如何去制作一个证书申请呢?如果我们仅要求对公司内部的员工分发证书,那么去第三方机构申请证书是需要一定费用的,这时候我们自己建立一个CA并给自己颁发一个证书,这样就好很多了
要想自建CA的话,我们要借助一个工具,OpenSSL,
openssl由三部分组成,
libcrypto:实现加密解密的工具,很多需要加密的程序都会调用这个库
libssl :实现ssl功能的
openssl :openssl的命令行工具
Openssl:常用的几个命令介绍
versinon 查看openssl的版本号
enc 加密
免费云主机域名 -des3 指定加密算法为des -in 指定加密/解密文件 -e 加密 -d 解密 -out 制定将加密或者解密过后的文件存放的位置 例如:
将一个文件加密的过程我们就用:
openssl enc -des3 -in /path/to/somefile -e -out /path/to/somefile.des3
将加密过后的文件解密我们就使用:
openssl enc -des3 -in /path/to/somefile.des3 -d -out /path/to/somefile
dgst
-hex 以16禁止显示计算出的特征码
-out 保存的文件
例:以md5的算法获取一个文件的特征码
openssl dgst -md5 -hex /path/to/somefile
speed 速度测试工具
不带任何参数将每一种加密算法都测试一遍,指定加密算法的话,只测试指定的算法
生成私钥: openssl genrsa num num 指定生成秘钥的位数,默认是512位的,必须为2的n次方位
例如:
openssl genrsa 2^n > /path/to/keyfile
openssl genrsa -out /path/to/keyfile 2^n对于私钥也是可以加密的 -des3 指定以des3的格式加密
-out 指定保存的位置
例:openssl genrsa -des3 2048
注:我们的私钥虽然加密,但是也不能让人随意看,所以我们应该把私钥文件的权限改为只有自己才能看生成公钥注:公钥是从私钥中中提取出来的:
rsa
-in 私钥所存放的位置
-pubout 提取公钥
例:
openssl rsa -in /path/to/keyfile -pubout 丛私钥中提取公钥那如何申请证书呢用到的命令 req
-in 指定从哪个文件读取
-key 指定私钥文件在哪
-new 实现制作证书申请
-days 指定该证书期望使用的时间
-out 把证书申请保存在那个文件下
例如:如何制作一个证书申请呢:
openssl req -new -key /path/to/private_key -out /paht/to/certificate.csr
下面我们就来实现自建CA,制作证书申请,分发证书的过程:
自建CA:
# cd /etc/pki/CA/
1、为CA生成一个私钥:
2、生成自签证书:
注:这里做自签证书的时候必须要加-x509,不指定的话就是证书申请 这样的话我们自己的CA就创建好了,自签证书也好了,就可以拿着证工作了3、签署证书:
# openssl ca -in /path/to/certreq.csr -out /path/to/certfile.crt(证书文件都以crt结尾) -days 365
是一个数字签名的过程
客户端 生成私钥 制作证书请求:签署证书: 专用客户端测试工具:
# openssl s_client -connect HOST:PORT -CAfile /path/to/cacertfile|-CApath /paht/to/cacertfiles_dir/ -ssl2|-ssl3|-tls1 -connect 说明链接那个服务器的那个端口进行检测 -CAfile 指定使用那个CA证书进行检测 -CApath 指定那个路径下的CA证书,与-CAfile二选一使用 -ssl2 指定协议 -state 显示其状态openssl中有如下后缀名的文件
.key格式:私有的密钥
.crt格式:证书文件,certificate的缩写
.csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写
.crl格式:证书吊销列表,Certificate Revocation List的缩写
.pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式
这篇文章主要讲解了“ubuntu同步网络时间的方法是什么”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“ubuntu同步网络时间的方法是什么”吧!需要借助ntpdate根据完成同步。1.打开终端输入以下命令安装n…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。
微信扫一扫 
