Linux ssl协议和openssl工具的使用,HTTPS协议htt
Linux ssl协议和openssl工具的使用,HTTPS协议htt
加密相关的一些安全协议
SSL\TLS协议
SSL:(Secure Sockets Layer)安全套接层协议
TLS:(Transport Layer Security)传输层安全协议,是SSL协议的继任者
作用:
- 在传输层和应用层之间对网络连接进行加密。
HTTPS协议
http协议是不加密的,http协议+TLS协议就是https协议
HTTPS的通信过程:
服务端配置:会向指定CA组织申请证书
客户端发送https请求
服务器将自己的证书发送给客户端
客户端校验证书的有效性(是否是权威CA颁发、是否过期等)
如果校验通过,客户端就使用服务端的公钥(服务端发送过来的证书中有)生成一个随机的key发送给服务端
服务端使用自己的私钥来解密得到这个key
后面双方就可以使用这个key(对称密钥来进行数据的传输)
openssl
openssl是一个开源的软件包。
应用程序可以通过这个软件包来实现一些加密算法、以及ssl\tls协议。
openssl软件包的组件:
libcrypto:用于实现加密和解密的库
libssl:用于实现ssl通信协议的安全库
openssl:多用途命令行工具 #最长用的一个组件,里面的核心工具:openssl
Base64编码
作用:实现编码转换的作用。实现把ascii码中不可见的字符转换为可见的字符
ascii中可见的字符有64个
ascii码可见的字符:aA-zZ 0-9 = / 26+26+10+2=64
openssl工具的使用
-
交互式(默认)
-
批处理:
查看openssl的版本
交互式:
[root@ubuntu1804 ~]#openssl
OpenSSL> version
批处理式:
root@ubuntu2004:~# openssl version
使用openssl实现对称加密
工具:openssl enc, gpg
算法:3des, aes, blowfish, twofish
enc:对称加密算法工具,实现对称加密和解密 帮助:man enc
加密:
openssl enc -e -des3 -a -salt -in testfile -out testfile.cipher
选项:
-e:表示加密
-des3:表示使用3des这种对称加密算法
-a:表示使用Base64进行编码转换
-salt:表示加盐
-in:表示需要加密的文件
-out:后面存放加密生成的结果的文件
解密:
openssl enc -d -des3 -a -salt -in testfile.cipher -out testfile
选项:
-d:表示解密
例如:
#使用对称加密的时候会要求提示输入密码。因为对称加密算法使用同一个密码进行加密和解密
#不使用base64编码进行转换,显示的就是一堆乱码
[root@CentOS8 ~]# cat a.txt
hello world
[root@CentOS8 ~]# openssl enc -e -des3 -a -salt -in a.txt -out a.txt.enc
enter des-ede3-cbc encryption password:
Verifying - enter des-ede3-cbc encryption password:
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.
解密:
[root@CentOS8 ~]# openssl enc -d -des3 -a -salt -in a.txt.enc -out a.txt.unenc
enter des-ede3-cbc decryption password:
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.
[root@CentOS8 ~]# cat a.txt.unenc
hello world
openssl实现单向哈希加密
工具:openssl dgst
算法:md5sum, sha1sum, sha224sum,sha256sum…
dgst工具:用于数据摘要,摘要就是使用哈希算法单项加密得到的。帮助:man dgst
格式:
openssl dgst [-算法] [-hex默认] /PATH/FILE # 计算文件的摘要值,默认使用SHA256算法
例如:
[root@CentOS8 ~]# openssl dgst -md5 a.txt
MD5(a.txt)= 6f5902ac237024bdd0c176cb93063dc4
[root@CentOS8 ~]# openssl dgst -sha256 a.txt
SHA256(a.txt)= a948904f2f0f479b8f8197694b30184b0d2ed1c1cd2a1ec0fb85d299a192a447
格式:
openssl 加密算法 加密的文件 #dgst可以省略
例如:
[root@CentOS8 ~]# openssl md5 a.txt
MD5(a.txt)= 6f5902ac237024bdd0c176cb93063dc4
[root@CentOS8 ~]# openssl sha256 a.txt
SHA256(a.txt)= a948904f2f0f479b8f8197694b30184b0d2ed1c1cd2a1ec0fb85d299a192a447
openssl 命令生成用户密码
passwd工具:生成散列密码。生成各种口令密文 帮助:man sslpasswd
#使用useradd命令创建用户的时候可以指定用户的密码,但是这个密码必须是加密的密码才行。
格式:
openssl passwd --help
选项:
-6:表示采用sha512这种加密算吗(Centos7上面没有)
-5:sha256算法
-1:md5算法
例如:
[root@CentOS8 ~]# openssl passwd -6 123 #会自动添加对应的盐,也可以人为指定盐
$6$HJMCq6DS/crf5SPg$uTmrCztUuMh2ZeSMbrKpP92Tw1.ZxFWKYkdq.xSkU327RDlI94fambwn729U01kYO8M.vMeUebZl9HPe0fGHP.
[root@CentOS8 ~]# openssl passwd -6 123
$6$UFc8Vq1s0YtAlIsG$4kF0ONf.rzCPLWBowdRHhofvwixXfrpb.z8aTTJk/QPY2NSJW7qc7F78PN.9MTVsTG25Aey71GgvdY7gPhP9M.
[root@CentOS8 ~]# openssl passwd -6 -salt fadsfsa 123
$6$fadsfsa$ULSYSZGx5Veh5x2jM5DlcOZnmeSUnPkqlnAydORNeMRW0Y7muTt7lJrsAm0v/0Ac6zz2yv5rKR9fV4tzKSorH/
#创建一个新用户,密码采用sha512的加密算法
[root@CentOS8 ~]# useradd bob -p `openssl passwd -6 redhat`
验证:
[tom@CentOS8 ~]$ su - bob
Password:
[bob@CentOS8 ~]$ id
uid=1001(bob) gid=1001(bob) groups=1001(bob)
[root@CentOS8 ~]# getent shadow bob
bob:$6$E/bQYFLLOrZ0H6mW$vLAPazXrzfa2Yt4ga0258hiqM8IVBDHfT4kzzvpcv.Nnzys4X1yTyjl4rarBSUaiW37mUl1d15h7PiuzAjLGi/:19279:0:99999:7:::
openssl 生成随机数
rand工具:生成随机字节,可以把这个随机字节当作随机口令来使用
[root@CentOS8 ~]# openssl rand --help
Usage: rand [flags] num #num表示多少个字节
Valid options are:
-help Display this summary
-out outfile Output file
-rand val Load the file(s) into the random number generator
-writerand outfile Write random data to the specified file
-base64 Base64 encode output
-hex Hex encode output #16进制
-engine val Use engine, possibly a hardware device
例如:
NUM: 表示字节数,使用-hex,每个字符为十六进制,相当于4位二进制,出现的字符数为NUM*2
1byte=8bit 1bit=1个0/1
ASCII码:
一个英文字母(不分大小写)占一个字节的空间,一个中文汉字占两个字节的空间。
UTF-8编码:
一个英文字符等于一个字节,一个中文(含繁体)等于三个字节。
[root@CentOS8 ~]# openssl rand -hex 5
ab65b4df3e
#一个字节8位,一个十六进制数4位,要生成5个字节的随机数(40bit),就需要10个十六进制数。
[root@CentOS8 ~]# openssl rand -hex 10
0a21044807614349f9c9
[root@CentOS8 ~]# openssl rand -base64 5
CcX2zA4=
#随机生成一个5个字节的符号(字节不是3的整数倍就会出现等号的情况,=号是用来占位的,四个字节一组)
其他生成随机数的方式:
/dev/random:结合硬件信息来生成字符。随机数用光了就会阻塞程序的执行
/dev/urandom:随机数也是来自硬件,随机数用光了会用软件模拟生成伪随机数。不会阻塞运行。
范例:随机生成十个用户,每个用户分配一个随机的密码。
#!/bin/bash
for i in {1..10};do #{1..10}表示生成1..10的一个数字列表
id user$i &> /dev/null || useradd user$i #使用id命令查看用户是否存在,不存在就创建这个用户
passwd=`openssl rand -base64 10` #获取到一个十字节随机密码
echo $passwd | passwd user$i --stdin &> /dev/null #给生成的用户指定密码
echo user$i:$passwd >> user.txt #将密码保存到一个指定文件
done
使用openssl工具实现 PKI
PKI:Public Key Infrastructure 公共密钥加密体系
生成私钥:
格式:
openssl genrsa -out /PATH/TO/PRIVATEKEY.FILE [指定的对称加密算法] [NUM_BITS,默认2048]
说明:
genrsa: 使用rsa算法
-out: 生成的私钥文件
指定对称加密算法作用:用于给生成的私钥文件加密,保证数据安全
[NUM_BITS,默认2048]:指定生成的私钥文件长度
对称加密算法:man genrsa
-aes128, -aes192, -aes256, -aria128, -aria192, -aria256, -camellia128, -camellia192, -camellia256, -des, -des3, -idea
例如:
[root@CentOS8 ~]# openssl genrsa -out b.enc #生成一个私钥文件,没加密,默认采用2048的长度
Generating RSA private key, 2048 bit long modulus (2 primes)
........................................................................................................................+++++
.............+++++
e is 65537 (0x010001)
[root@CentOS8 ~]# cat b.enc
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
解密加密了的私钥
如果在生成私钥的时候采用对称加密的方法加密了,解密的方法是:
#格式
openssl rsa -in 加密了的私钥文件 -out 解密后的文件 #对称加密使用同一个密码来进行加密和解密
例如:
[root@CentOS8 ~]# openssl genrsa -out b.enc -des3
Generating RSA private key, 2048 bit long modulus (2 primes)
.....+++++
.+++++
e is 65537 (0x010001)
Enter pass phrase for b.enc:
Verifying - Enter pass phrase for b.enc:
[root@CentOS8 ~]# openssl rsa -in b.enc -out b.txt
Enter pass phrase for b.enc:
writing RSA key
公钥是隐藏在私钥内部的,可以通过私钥的到公钥。
从私钥中提取出公钥
openssl rsa -in 私钥文件 -pubout -out 提取出来保存的公钥文件
例如:
[root@CentOS8 ~]# openssl rsa -in b.enc -pubout -out b.puc
Enter pass phrase for b.enc:
writing RSA key
[root@CentOS8 ~]# cat b.puc
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAtErigSQeRjvKBM6T/IBe
P0OD+5AHQRQv/Pzk5qN5KA9vWfVIuIPXAkQe+rLWNw5dvO2hMwoVk7A3wAaj6wUP
MjdNtfqMKNx6f/ILq10M4A0cF1INky7WziPu4cKrlP2mtzSog8xlZBv2TwoIfcCf
oUNMFIB9J0zCRPvhqnMv79Ql8LcJgjfEWN3GigV4RrXhPZHzzeo1kme39vev9lvZ
Q8FBZQHtgNfxez52aACbr8c3HYvDGNl69nEhCvMjqz8qdWY0jT0hB27xIOWPduzc
aQFgp3bNEnJcUem4gbRQG3ykdjs+96+gFCb4MF5/SG76AQivdEL2XTNZzfC7ntrS
GwIDAQAB
-----END PUBLIC KEY-----
评论暂时关闭