数据加密解密及openssl建立CA
数据的安全性:
保密性:C
数据保密性
隐私性
完整性:I
数据完整性
系统完整性
可用性A
可被授权实体访问并按需求是有的特性
NTST (national institute of standards and technology)美国国家标准与技术研究院所制定的网络信息安 全性和保密性。简称CIA。 当然CIA保证了网络信息安全和保密,但是另外两条标准也是不可忽视的。
真实性 确保数据发送发是真正的发送方
可追溯性 受到***,能追溯***者原位置
OSI组织定义的计算机安全通信框架:x 800
安全***
被动***;窃听
主动***:伪装“冒名顶替”;重播 ;消息修改;拒绝服务
安全机制:
加密、数字签名、访问控制、数据完整性、认证交换、流量填充、路由控制、公证
安全服务:
认证
访问控制
数据保密性:
连接保密性
无连接保密性
选择域保密性
流量保密性
数据完整性
数据传输没有被非授权的修改,插入,删除,重播
不可否认性:身份认证
加密类型:
一、对称加密:加密解密使用同一**。
对称加密算法
DES:56位
3DES:
AES:高级加密标准
特性:
1、加密,解密使用同一口令;
2、将明文分隔成固定大小的块,逐个进行加密
缺陷:
1、**过多;
2、**传输;
3、分发困难
**交换、身份验证、数据完整性无法得到保证。
二、公钥加密:加密和解密使用一对**
public key公钥;secret key私钥
公钥一般用于:
实现身份认证
**交换
常用加密算法:RSA,DSA,EIGamal
三、单向加密:
定长输出
不可逆:(解密)
雪崩效应(蝴蝶效应)
常用加密算法:MD5、sha1
PKI:公钥基础设施
签证机构:CA
***构:RA
证书吊销列表:CRL
证书存取库:
申请CA流程:存取库-->RA-->CA-->CRL
CA:证书包含内容
证书版本号
证书***: 记录当前CA发行了多少证书
证书算法参数;
发行者的名称:
证书有效期限
证书拥有者的主体名称 (‘用户’名字 或者‘主机名’)
公钥信息: (自己填写 名字等相关信息)
发行者的id: CA的编号
主体的编号--id
CA的签名: 来源合法性
加密解密简图:
当接收者接到报文,使用自己的私钥进行解密,其次使用对称**解密,获得加密的报文和特征码;再次使用发送者的公钥进行解密,提取原报文。
Openssl创建私有CA
一、建立CA服务器:
1、生成** :
#cd /etc/pki/CA
# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
2、自签证书:使用
# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 300
3、初始化工作环境
# touch /etc/pki/CA/{index.txt,serial}
# echo 01 > /etc/pki/CA/serial CA编号从01开始 以此类推
二、节点申请证书:
节点生成请求
1、生成**对儿
# (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)
2、生成证书签署请求
# openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr
3、把签署请求文件发送给CA服务
# scp /etc/pki/CA/httpd.crt 172.16.244.22:/etc/httpd/ssl
收到节点请求CA验证证书中的信心是否符合,
如果符合CA将签署证书使用:# openssl ca -in /path/to/somefile.csr -out /path/to/somefile.crt -days 200。
在将签署证书发送给申请者:
# Scp /etc/pki/CA/httpd.crt 172.16.249.100:/etc/https/ssl/
转载于:https://blog.51cto.com/hhxxb/1534370