linux-openssl命令行

title: linux-openssl

“專業(yè)、務(wù)實(shí)、高效、創(chuàng)新、把客戶的事當(dāng)成自己的事”是我們每一個(gè)人一直以來堅(jiān)持追求的企業(yè)文化。 創(chuàng)新互聯(lián)公司是您可以信賴的網(wǎng)站建設(shè)服務(wù)商、專業(yè)的互聯(lián)網(wǎng)服務(wù)提供商! 專注于網(wǎng)站制作、做網(wǎng)站、軟件開發(fā)、設(shè)計(jì)服務(wù)業(yè)務(wù)。我們始終堅(jiān)持以客戶需求為導(dǎo)向，結(jié)合用戶體驗(yàn)與視覺傳達(dá)，提供有針對(duì)性的項(xiàng)目解決方案，提供專業(yè)性的建議，創(chuàng)新互聯(lián)建站將不斷地超越自我，追逐市場(chǎng)，引領(lǐng)市場(chǎng)！

date: 2020-09-16 11:02:15

categories:

{% note info %}

OpenSSL是一個(gè)健壯的、商業(yè)級(jí)的、功能齊全的開源工具包，用于傳輸層安全(TLS)協(xié)議，以前稱為安全套接字層(Secure Sockets Layer, SSL)協(xié)議。協(xié)議實(shí)現(xiàn)基于全強(qiáng)度通用密碼庫，也可以單獨(dú)使用。

openssl是一個(gè)功能豐富且自包含的開源安全工具箱。它提供的主要功能有：SSL協(xié)議實(shí)現(xiàn)(包括SSLv2、SSLv3和TLSv1)、大量軟算法(對(duì)稱/非對(duì)稱/摘要)、大數(shù)運(yùn)算、非對(duì)稱算法密鑰生成、ASN.1編解碼庫、證書請(qǐng)求(PKCS10)編解碼、數(shù)字證書編解碼、CRL編解碼、OCSP協(xié)議、數(shù)字證書驗(yàn)證、PKCS7標(biāo)準(zhǔn)實(shí)現(xiàn)和PKCS12個(gè)人數(shù)字證書格式實(shí)現(xiàn)等功能。

span style="color:red;"項(xiàng)目地址/span span style="color:red;"官方網(wǎng)址/span span style="color:red;"手冊(cè)/span

{% endnote %}

{% tabs configtab, 1 %}

對(duì)稱算法使用一個(gè)密鑰。給定一個(gè)明文和一個(gè)密鑰，加密產(chǎn)生密文，其長(zhǎng)度和明文大致相同。解密時(shí)，使用讀密鑰與加密密鑰相同。

ECB\CBC\CFB\OFB

摘要算法是一種能產(chǎn)生特殊輸出格式的算法，這種算法的特點(diǎn)是：無論用戶輸入什么長(zhǎng)度的原始數(shù)據(jù)，經(jīng)過計(jì)算后輸出的密文都是固定長(zhǎng)度的，這種算法的原理是根據(jù)一定的運(yùn)算規(guī)則對(duì)原數(shù)據(jù)進(jìn)行某種形式的提取，這種提取就是摘要，被摘要的數(shù)據(jù)內(nèi)容與原數(shù)據(jù)有密切聯(lián)系，只要原數(shù)據(jù)稍有改變，輸出的“摘要”便完全不同，因此，基于這種原理的算法便能對(duì)數(shù)據(jù)完整性提供較為健全的保障。但是，由于輸出的密文是提取原數(shù)據(jù)經(jīng)過處理的定長(zhǎng)值，所以它已經(jīng)不能還原為原數(shù)據(jù)，即消息摘要算法是不可逆的，理論上無法通過反向運(yùn)算取得原數(shù)據(jù)內(nèi)容，因此它通常只能被用來做數(shù)據(jù)完整性驗(yàn)證。

如今常用的“消息摘要”算法經(jīng)歷了多年驗(yàn)證發(fā)展而保留下來的算法已經(jīng)不多，這其中包括MD2、MD4、MD5、SHA、SHA-1/256/383/512等。

常用的摘要算法主要有MD5和SHA1。MD5的輸出結(jié)果為16字節(jié)，sha1的輸出結(jié)果為20字節(jié)。

在公鑰密碼系統(tǒng)中，加密和解密使用的是不同的密鑰，這兩個(gè)密鑰之間存在著相互依存關(guān)系：即用其中任一個(gè)密鑰加密的信息只能用另一個(gè)密鑰進(jìn)行解密。這使得通信雙方無需事先交換密鑰就可進(jìn)行保密通信。其中加密密鑰和算法是對(duì)外公開的，人人都可以通過這個(gè)密鑰加密文件然后發(fā)給收信者，這個(gè)加密密鑰又稱為公鑰；而收信者收到加密文件后,它可以使用他的解密密鑰解密，這個(gè)密鑰是由他自己私人掌管的，并不需要分發(fā)，因此又成稱為私鑰，這就解決了密鑰分發(fā)的問題。

主要的公鑰算法有：RSA、DSA、DH和ECC。

Openssl中大量用到了回調(diào)函數(shù)。回調(diào)函數(shù)一般定義在數(shù)據(jù)結(jié)構(gòu)中，是一個(gè)函數(shù)指針。通過回調(diào)函數(shù)，客戶可以自行編寫函數(shù)，讓openssl函數(shù)來調(diào)用它，即用戶調(diào)用openssl提供的函數(shù)，openssl函數(shù)再回調(diào)用戶提供的函數(shù)。這樣方便了用戶對(duì)openssl函數(shù)操作的控制。在openssl實(shí)現(xiàn)函數(shù)中，它一般會(huì)實(shí)現(xiàn)一個(gè)默認(rèn)的函數(shù)來進(jìn)行處理，如果用戶不設(shè)置回調(diào)函數(shù)，則采用它默認(rèn)的函數(shù)。

{% endtabs %}

Linux下生成能用的SSL證書的步驟

我們首先要設(shè)置 openssl 的全局配置文件

在debian下他的配置文件在 /usr/lib/ssl/openssl.cnf

需要修改的內(nèi)容：

具體怎么改可以自己決定

在CA目錄下創(chuàng)建兩個(gè)初始文件：

為了安全起見，修改cakey.pem私鑰文件權(quán)限為600或400，也可以使用子shell生成( umask 077; openssl genrsa -out private/cakey.pem 2048 )，下面不再重復(fù)。

使用req命令生成自簽證書：

然后會(huì)有提示，之后再出現(xiàn)也是這樣填，不再重復(fù)

以上都是在CA服務(wù)器上做的操作，而且只需進(jìn)行一次，現(xiàn)在轉(zhuǎn)到nginx服務(wù)器上執(zhí)行：

這里測(cè)試的時(shí)候CA中心與要申請(qǐng)證書的服務(wù)器是同一個(gè)。

另外在極少數(shù)情況下，上面的命令生成的證書不能識(shí)別，試試下面的命令：

上面簽發(fā)過程其實(shí)默認(rèn)使用了-cert cacert.pem -keyfile cakey.pem，這兩個(gè)文件就是前兩步生成的位于/etc/pki/CA下的根密鑰和根證書。將生成的crt證書發(fā)回nginx服務(wù)器使用。

到此我們已經(jīng)擁有了建立ssl安全連接所需要的所有文件，并且服務(wù)器的crt和key都位于配置的目錄下，剩下的是如何使用證書的問題。

因?yàn)檫@是個(gè)人生成的證書，瀏覽器第一次可能會(huì)報(bào)錯(cuò)，只要添加信任之后就可以正常使用了！

如何在linux下安裝ssl證書？

一、創(chuàng)建Azure Key Vault

創(chuàng)建Key Vault和Linux安裝SSL之前，大家需要先使用az group create來創(chuàng)建資源。比如創(chuàng)建名為“myResourceGroupSecureWeb”的資源組，需要先復(fù)制Azure CLI到對(duì)應(yīng)文件夾中，然后再使用az keyvault create創(chuàng)建Key Vault，并在部署VM時(shí)啟用該Key Vault。

每一個(gè)Key Vault都需要具備唯一的名稱，而且全部都是小寫字母，然后將名稱替換為自己唯一的Key Vault名稱，生成證書并存儲(chǔ)在Key Vault中。為了讓網(wǎng)站SSL安全使用使用，大家需要在Linux安裝SSL導(dǎo)入時(shí)由受信任的程序提供簽名才算是有效證書。

二、準(zhǔn)備用于VM的證書

若要在VM創(chuàng)建過程中使用上述證書，大家需要使用az keyvault secret list-versions獲取證書的唯一ID，然后再通過az vm format-secret轉(zhuǎn)換該證書。具體操作為創(chuàng)建cloud-init配置以保護(hù)NGINX，在首次啟動(dòng)VM時(shí)對(duì)其進(jìn)行自定義，再通過cloud-init來安裝程序包和寫入文件，或者配置用戶和安全性。

除了在Linux安裝證書初始啟動(dòng)期間要運(yùn)行cloud-init外，無需在進(jìn)行其他的步驟和代理。創(chuàng)建VM、安裝程序包和啟動(dòng)應(yīng)用需耗時(shí)幾分鐘。創(chuàng)建后測(cè)試一下Web應(yīng)用是否安全，Linux的ssl證書安裝如果使用的是自簽名的安全證書，網(wǎng)頁會(huì)有安全警告，提示用戶存在不安全因素。

Linux的ssl證書安裝相對(duì)于其他系統(tǒng)來講，比較簡(jiǎn)單。不過需要注意的是，Linux安裝證書對(duì)國(guó)內(nèi)和國(guó)外的網(wǎng)絡(luò)環(huán)境有一定的設(shè)置要求，如果沒有及時(shí)更改，會(huì)造成SSL證書配置失敗。

新聞名稱：linuxssl命令,linux中l(wèi)s命令的用法
分享URL：http://chinadenli.net/article33/dsiddps.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站排名、全網(wǎng)營(yíng)銷推廣、App開發(fā)、微信小程序、網(wǎng)站導(dǎo)航、小程序開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)