linux安全和加密篇（三）—openssl工具和CA证书

OpenSSL：开源项目

三个组件：

• openssl: 多用途的命令行工具，包openssl
• libcrypto: 加密算法库，包openssl-libs

[[email protected] data]# openssl-libs

• libssl：加密模块应用库，实现了ssl及tls，包nss

[[email protected] data]# rpm -ql nss

openssl命令：

• 两种运行模式：交互模式和批处理模式
• openssl version：程序版本号
• 标准命令、消息摘要命令、加密命令
• 标准命令：
• enc, ca, req, ...

[[email protected] data]# rpm -ql openssl
/etc/pki/CA                
/etc/pki/CA/certs
/etc/pki/CA/crl
/etc/pki/CA/newcerts
/etc/pki/CA/private
usr/bin/openssl	

 openssl 命令支持对称加密，非对称加密解密等

用法：1、交互式

[[email protected]>08:52:30~]#openssl
OpenSSL> ?

openssl:Error: '?' is an invalid command.

2、非交互式

openssl + 命令 命令.....

openssl命令

对称加密：

• 工具： openssl enc, gpg
• 算法： 3des, aes, blowfish, twofish

enc命令：

• 帮助： man enc
• 加密：
• openssl enc -e -des3 -a -salt -in testfile
• -out testfile.cipher

解密：

• openssl enc -d -des3 -a -salt –in testfile.cipher
• -out testfile
• openssl ?

加密例子：

第一步：

[[email protected]>14:47:26/app]#openssl enc -e -des3 -a -salt -in fstab -out fstab.cip
enter des-ede3-cbc encryption password:
Verifying - enter des-ede3-cbc encryption password:

第二步：

[[email protected] data]# base64 -d test.cip

######使用base64 -d fstab.cip 编码转换成二进制####

第三步：

解密

[[email protected] data]# openssl enc -d -des3 -a -salt -in test.cip -out test2

enter des-ede3-cbc decryption password:

openssl命令—哈希算法

单向加密：

• 工具： md5sum, sha1sum, sha224sum,sha256sum…
• openssl dgst

dgst命令：

• 帮助： man dgst
• openssl dgst -md5 [-hex默认] /PATH/SOMEFILE
• openssl dgst -md5 testfile
• md5sum /PATH/TO/SOMEFILE

例子：

md5sum test

[[email protected] data]# md5sum test
cf4676656ace92c1d8e1edf2f2ecbf6a  test

[[email protected] data]# openssl dgst -md5 test
MD5(test)= cf4676656ace92c1d8e1edf2f2ecbf6a

因为算法一样，所以得出的哈希值也相同

openssl命令

生成用户密码：

• passwd命令:
• 帮助： man sslpasswd
• openssl passwd -1 -salt SALT(最多8位)
• openssl passwd -1 –salt centos

生成随机数：

• 帮助： man sslrand
• openssl rand -base64|-hex NUM
• NUM: 表示字节数； -hex时，每个字符为十六进制，相当于4位二进制，出现的字符数为NUM*2

man sslpasswd

例子：

openssl passwd

默认使用： -crypt加密

例子1、

[[email protected] data]# openssl passwd 
Password: 
Verifying - Password: 
NNiotT0rFp20E

例子2、 

[[email protected] data]# openssl passwd -1
Password: 
Verifying - Password: 
$1$NfgvMVBF$g/fovTmTnv5B2OUKJvFr21

例子3、

[[email protected] data]# openssl passwd -1 -salt centos
Password: 
$1$centos$Uq6E6Wp5SDZYbs6MCmamP0

生成随机数

例子：openssl rand -base64 12

[[email protected] data]# openssl rand -base64 12
WdOrd0ZhcRlLAnJ+

base64编码机制的诠释

例子：echo "ab" |base64 2^6=64

[[email protected] data]# echo -n "ab" |base64
YWI=

64个字符表示系统中的二进制数

A-Z------十进制---->0—25

a--------z十进制----->97------>1100001

b--------十进制------->98------>1100010

 

       a                                   b

01100001                  01100010

       a                                   b

011000       01 0110      001000

    24Y             22W              I

 

0-9

+(62)

/ (63) 64个字符

 

[[email protected] data]# echo -n "abc" |base64 > abc.base64

[[email protected] data]# cat abc.base64 
YWJj

base64编码本身不加密，可以使用base64  -d  反向解析成源码

[[email protected] data]# base64 -d abc.base64 
abc

随机口令多少位：openssl rand -base64 24|tr -d '/+' |head -c12

生成随机口令 ：cat /dev/urandom |tr -dc 'A-Za-z0-9' |head -c 12

 

[[email protected] data]# openssl rand -hex 10
21840dfde41df91375a6

openssl命令 对称加密

 

openssl命令 对称加密

 

公钥加密：

• 算法： RSA, ELGamal
• 工具： gpg, openssl rsautl（ man rsautl）

数字签名：

• 算法： RSA, DSA, ELGamal

 

**交换：

• 算法： dh
• DSA: Digital Signature Algorithm
• DSS： Digital Signature Standard
• RSA：

 

openssl命令 非对称加密

 

生成**对儿： man genrsa

生成私钥

• openssl genrsa -out /PATH/TO/PRIVATEKEY.FILE NUM_BITS
• (umask 077; openssl genrsa –out test.key –des 2048)
• openssl rsa -in test.key –out test2.key 将加密key解密

 

从私钥中提取出公钥

• openssl rsa -in PRIVATEKEYFILE –pubout –out PUBLICKEYFILE
• openssl rsa –in test.key –pubout –out test.key.pub

 

随机数生成器：伪随机数字

• 键盘和鼠标，块设备中断
• /dev/random：仅从熵池返回随机数；随机数用尽，阻塞
• /dev/urandom：从熵池返回随机数；随机数用尽，会利用软件生成伪随机

[[email protected] data]# cat /dev/random |tr -dc "A-Za-z0-9" |head -c 12
Wwy3w7QwI9hk

 

 

[[email protected] data]# cat /dev/urandom |tr -dc "A-Za-z0-9" |head -c 12
AisDjYYIN3z7

例子：生成私钥

1、不加密的私钥

[[email protected] data]# openssl genrsa -out test.key 1024
Generating RSA private key, 1024 bit long modulus
..++++++
........................++++++
e is 65537 (0x10001)

2、使用dns3加密私钥

[[email protected] data]# (umask 066;openssl genrsa -out test2.key -des3 2048)
Generating RSA private key, 2048 bit long modulus
.......................................+++
..............................................................................................................+++
e is 65537 (0x10001)
Enter pass phrase for test2.key:
Verifying - Enter pass phrase for test2.key:

解密私钥

[[email protected] data]# openssl rsa -in test2.key -out test22.key
Enter pass phrase for test2.key:
writing RSA key

[[email protected] data]# ls

 test2.key              test22.key        ###解密后出来的test22私钥文件

从私钥中提取公钥

[[email protected] data]# openssl rsa -in test2.key -pubout -out test2.pub
Enter pass phrase for test2.key:
writing RSA key

[[email protected] data]# ls

test2.key    test2.pub                ###从私钥中提取出的公钥