Linux九阴真经之九阴白骨爪残卷1(加密和安全)
CA和证书
序列号
签名算法 主体公钥
颁发者 CRL分发点
有效期限 扩展信息
主体名称 发行者签名
证书类型:
证书授权机构的证书
服务器
用户证书
获取证书两种方法:
•使用证书授权机构
生成签名请求(csr)
将csr发送给CA
从CA处接收签名
•自签名的证书
自已签发自己的公钥
OpenSSL
三个组件:
openssl:加密模块应用库,实现了ssl及tls,包nss
libcrypto:加密算法库,包openssl-libs
libssl:加密模块应用库,实现了ssl及tls,包nss
openssl命令
两种运行模式:交互模式和批处理模式
标准命令:
enc, ca, req, ...
对称加密
工具:oopenssl enc,
算法:3des, aes, blowfish, twofish
enc命令
帮助:man enc
加密: openssl enc -e -des3 -a -salt -in testfile -out testfile.cipher
enc(对称加密)
-des3 (加密算法)
-a(以base64编码,用可见字符表示,方便查看)
解密: openssl enc -d(解密) -des3 -a -salt -in testfile.cipher -out testfile
单向加密:
工具:md5sum, sha1sum, sha224sum,sha256sum…
openssl dgst
生成用户密码
passwd命令:
帮助:man sslpasswd
openssl passwd -1(以md5加密) -salt (加盐,杂质,不容易破解)
生成随机数
openssl rand -base64 | -hex NUM
NUM: 表示字节数;-hex时,每个字符为16进制,相当于4位二进制,出现的字符数为NUM*2
openssl rsa -in PRIVATEKEYFILE -pubout -out PUBLICKEYFILE
openssl rsa -in test.key -pubout -out test.key.pub
创建CA和申请证书
一、创建CA
1、ROOT CA 自己创建CA
生成私钥
自签名证书
二、用户或服务器
1、生成私钥
2、生成证书申请文件
3、将申请文件发给CA
三、CA颁发证书
证书签名
四、证书发送给客户端
五、应用软件使用证书
例:向CA申请证书
1、建立Root CA ,生成私钥 umask 077 是取反的意思,目的是达到700的效果,为什么不用mask 700呢? 因为没有这条命令。
[root@laobai ~#cd /etc/pki/CA [root@laobai /etc/pki/CA#(umask 077;openssl genrsa -out private/cakey.pem 4096) Generating RSA private key, 4096 bit long modulus ...........++ .................................................................................................................++ e is 65537 (0x10001)
2、自签名证书
[root@laobai /etc/pki/CA#openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650 You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. -----
3、用户服务器
(1)在客户端生成私钥
[root@laobai /etc/pki/CA#(umask 077;openssl genrsa -out app.key 1024) Generating RSA private key, 1024 bit long modulus .......++++++ .................................................................................++++++ e is 65537 (0x10001)
(2)生成证书申请文件
[root@laobai /etc/pki/CA#openssl req -new -key app.key -out app.csrCountry Name (2 letter code) [XX]:CN State or Province Name (full name) []:beijing Locality Name (eg, city) [Default City]:beijing Organization Name (eg, company) [Default Company Ltd]:magedu Organizational Unit Name (eg, section) []:m30 Common Name (eg, your name or your server's hostname) []:www.magedu.com Email Address []:Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
(3)将申请文件发给CA,并发送给服务器端
[root@laobai /etc/pki/CA#sz certs/app.crt
[root@centos7 CA]#scp app.csr 172.20.110.62:/etc/pki/CA root@172.20.110.62's password: app.csr 100% 651 1.2MB/s 00:00
4、CA颁发证书
(1) 新建一个index.txt 存储证书颁发信息
[root@laobai /etc/pki/CA#touch index.txt
(2)建一个serial文件 存储下一个颁发证书的编号
[root@laobai /etc/pki/CA#echo 0F > serial
(3)颁发证书
[root@laobai /etc/pki/CA#openssl ca -in app.csr -out certs/app.crt -days 100 Using configuration from /etc/pki/tls/openssl.cnf Check that the request matches the signature Signature ok
(4)将证书发送给客户端相应的文件夹内,客户端就可直接适用了。
转载于:https://www.cnblogs.com/huxiaojun/p/9058285.html
Linux九阴真经之九阴白骨爪残卷1(加密和安全)相关推荐
- Linux九阴真经之九阴白骨爪残卷2(SSH)
SSH ssh:安全的远程登录 两种方式的用户登录认证 基于passwork 基于key 客户端 常见的客户端工具有:Windows版的putty.securecrt.xshell:linux中有ss ...
- Linux九阴真经之九阴白骨爪残卷16
一.加密传输复制的实现 在默认的主从复制过程或远程连接到MySQL/MariaDB所有的链接通信中的数据都是明文的,外网里访问数据或则复制,存在安全隐患.通过SSL/TLS加密的方式进行复制的方法,来 ...
- Linux九阴真经之九阴白骨爪残卷3(自动化运维之系统安装)
安装程序 CentOS系统安装 系统启动流程: bootloader-->kernel(initramfs)-->rootfs-->/sbin/init anaconda: 系统安装 ...
- Linux九阴真经之九阴白骨爪残卷4(自动化运维之ansible用法一)
ansible是什么? ansible是什么? 它是一个配置管理工具,也是一个自动化运维工具. ansible能做什么? ansible 可以帮助我们完成一些批量任务,或者完成一些需要经常重复的工 ...
- Linux九阴真经之九阴白骨爪残卷5(ansible用法二之Playbook和YAML语法)
playbook是由一个或多个"play"组成的列表 play的主要功能在于将事先归并为一组的主机装扮成事先通过ansible中的task定义好的角色.从根本上来讲,所谓task无 ...
- Linux九阴真经之九阴白骨爪残卷3(DHCP、TFTP服务的安装与启动以及PXE安装Centos7)...
DHCP实现 一.首先准备两台linux,一台做dhcp服务器,另一台做客户端(将服务器的桥接网卡禁用),并取消虚拟机的HPC服务 二.将服务器端的IP设置为静态IP,取消DHCP服务(不写默认为取消 ...
- Linux九阴真经之九阴白骨爪残卷4(cobbler)
cobbler pex的二次封装,由Python开发,提供CLI和Web管理,cobbler在epel源中,安装时需要配置epel源. 工作原理: 1.client裸机配置了从网络启动后,开机后会广播 ...
- Linux九阴真经之九阴白骨爪残卷12(日志功能)
一.事务日志 transaction log:事务型存储引擎自行管理和使用 在一个事务提交后还没有存到磁盘的情况下会记录到事务日志,这个时候如果系统断电,再次开机后会自动将已提交的事务重做(redo ...
- Linux九阴真经之九阴白骨爪残卷13(LVM的备份还原,恢复最新状态)
一.备份策略 1.备份的类型 类型1: 热备份:读写不受影响(MyISAM不支持热备,InnoDB支持热备) 温备份:仅可以执行读操作 冷备份:离线备份,读写操作均中止 类型2: 物理备份:复制数据文 ...
最新文章
- 《OpenCV3编程入门》学习笔记8 图像轮廓与图像分割修复(五)分水岭算法(watershed algorithm)
- 实操指南:用谷歌AutoML构建图像分类模型
- 如何用C语音实现传递函数?
- PHP ORM框架ezpdo(2)之EZPDOSQL
- SyntaxError: expected expression, got ''
- AB1601LED之pwm
- 9、MySQL定义条件和处理程序
- 软件测试相关概念与分类
- 用SQL Server Compact Edition创建移动应用程序 【转载】
- python-演练-数据排除-从学生得分中去除题目源中并不存在的题
- unity中程序的延时
- Win10下Matlab r2018a 64位 中文破解版的安装以及破解方法
- 实战|朝阳医院药品销售分析案例
- C语言_99 乘法表
- 004_More Control Flow Tools_流程控制语句
- 万物互联之边缘计算岗位分析
- 国科大学习资料--人工智能原理与算法-第十二次作业解析(学长整理)
- vue学习笔记--动画
- SpringBoot请求报403 Forbidden
- windows11 安装Kibana