本次利用openssl建立私有ca,實現https加密通訊.
openssl由三部分組成:
加密演算法和協議:
對稱加密演算法和協議:
公鑰體系:分為公鑰和私鑰
des: data encryption standard(ibm研發)
3des: triple des
aes: advanced encryption standard
特性:加密,解密使用同一金鑰
缺陷:金鑰過多,金鑰分發困難
公鑰:從私鑰中提取,公開給所有人,pubkey
私鑰:通過工具建立,自己儲存,secret key
特點:公鑰加密資料,只能使用私鑰解密,反之亦然.
用途:演算法: rsa dsa
3. 單向加密:提取資料指紋,只能加密,不能解密
特性:定長輸出,雪崩效應
功能:完整性
演算法:4. 金鑰交換: ike (internet key exchange)
dh演算法
5. pki: public key infrastructure
公鑰基礎設施
openssl的配置檔案位於/etc/pki/tls/openssl.conf
選定一台主機,在其上生成ca自簽證書
1.生成私鑰
(umask 0066;openssl genrsa -out /etc/pki/ca/private/cakey.pem 2048)
2.生成自簽證書
openssl req -new -x509 -key /etc/pki/ca/private/cakey.pem -out /etc/pki/ca/cacert.pem -days 4000
-new生成新的證書簽署請求
-x509生成自簽格式證書,用於建立私有ca
-key生成請求時用的私鑰檔案路徑
-out生成的請求檔案路徑,自簽操作將直接生成簽署過的證書,用於ca自簽
-days證書有效時長
3.為ca提供所需檔案和目錄
ca目錄位於/etc/pki/ca
上面為系統剛建立時生成的四個資料夾,我們還需建立幾個檔案
cd /etc/pki/ca
touch
echo 01 > serial
crl:certification revoke list證書吊銷列表,我們極少涉及
newcerts新生成的證書存放位置
private存放ca私鑰cakey.pem
certs存放證書目錄
上圖為簽署過證書後目錄的結構
4.需求利用證書進行安全通訊的主機,向ca請求簽署證書
步驟:(i.g. httpd)
生成私鑰
生成證書簽署請求傳送httpd.csr於ca主機
ca主機簽署證書
檢視證書資訊:
利用ca.key ca.crt 簽署證書
OpenSSL建立私有CA
ca default dir etc pki ca 工作目錄 certs dir certs 客戶端證書儲存位置 crl dir dir crl 證書吊銷列表 database dir index.txt 證書列表 new certs dir dir newcerts 新生成的證書儲存目錄 cert...
Openssl建立私有CA
1.a和b通過ssl傳輸資料大概過程 私鑰加密的資料只能自己對應的公鑰才能解密,ca 簽證機關先給自己發乙個證書,公共認可的機構,a b之間通訊 資料都是通過自己生成的私鑰加密的後生成的資料 首先 a 將自己的 姓名 位址 公鑰 發給ca 傳送的資料稱為aa,ca自己生成的有一對公鑰和私鑰。ca先提...
ssl協議,openssl,建立私有CA
ssl是security socket layer 安全的套接字層 他介於http和tcp協議層之間 ssl是netscape公司開發的,屬於個人 tls是標準委員會制定的 openssl是ssl的開源實現 ca 證書頒發機構 certification authority 兩台主機要通訊,他們需要...