openssl命令行 工具:命令包含众多的子命令来实现各种安全加密功能

    标准命令有:enc, dgst, ca, req, genrsa, rand, rsa, x509, passwd, ...1.对称加密命令:enc提供对称加密算法,以进行数据或文件的手动加密;格式:openssl enc -ciphername [-in filename] [-out filename] [-e] [-d] [-a/-base64] [-salt]-ciphername:加密算法的名称-in filename:openssl要读取的文件路径;-out filename:加密或解密操作后用于保存结果的文件路径;-e:加密操作-d:解密操作-a/-base64:用纯文本格式进行密文编码;-salt:随机加盐;示例:加密文件(使用-e,-in选项,指定文件和加密后存放的位置):~]# openssl enc -e -des3 -in anaconda-ks.cfg -a -out anaconda-ks.cfg.encryptfile解密文件(使用-d,-out选项,指定文件和加密后存放的位置):~]# openssl enc -d -des3 -out anaconda-ks.cfg -a -in anaconda-ks.cfg.encryptfile2.单向解密命令:dgst示例:对fstab文件进行单向解密~]# openssl dgst -sha1 fstab3.生成随机数命令:randopenssl rand [-out file] [-rand file(s)] [-base64] [-hex] num示例:~]# openssl rand -base64 84.生成带盐的密码:passwdopenssl passwd -1 -salt SALT_STRING示例:~]# openssl passwd -1 -salt 012345675.公钥加密算法:genrsa生成rsa加密算法的私钥;openssl genrsa [-out filename] [-des] [-des3] [-idea] [-f4] [-3] [numbits]建议使用权限遮罩码来生成私钥:~]# (umask 077 ; openssl genrsa -out /tmp/my.key 4096)~]# (umask 077 ; openssl genrsa > /tmp/my.key 4096)从以及生成的私钥文件中抽取公钥:rsaopenssl rsa [-in filename] [-out filename] [-pubout]-pubout:抽取公钥-in filename:私钥文件的路径-out filename:公钥文件的路径示例:~]# openssl rsa -in my.key -out mykey.pub -pubout利用openssl建立私有CA:1.创建CA所在主机的私钥文件;2.生成自签证书;3.必须为CA提供必要的目录级文件及文本级文件;目录级文件:/etc/pki/CA/certs/etc/pki/CA/crl/etc/pki/CA/newcerts文本级文件:/etc/pki/CA/serial:保存证书的序列号,一般初始序列号为01;/etc/pki/CA/index.txt:证书索引;/etc/pki/tls/openssl.cnf:配置文件;创建私有CA的步骤:1.创建CA的私钥文件:[root@chenliang CA]# lscerts  crl  newcerts  private[root@chenliang CA]# (umask 077 ; openssl genrsa -out /etc/pki/CA/private/clcakey.pem 2048) Generating RSA private key, 2048 bit long modulus....+++....................................................................................................................................+++e is 65537 (0x10001)[root@chenliang CA]# ll private/总用量 4-rw-------. 1 root root 1675 4月  11 09:01 clcakey.pem2.生成自签证书:[root@chenliang CA]# openssl req -new -x509 -key /etc/pki/CA/private/clcakey.pem -out /etc/pki/CA/clcacert.pem -days 10000You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [XX]:CNState or Province Name (full name) []:Hebei                                             Locality Name (eg, city) [Default City]:HandanOrganization Name (eg, company) [Default Company Ltd]:cl              Organizational Unit Name (eg, section) []:TechCommon Name (eg, your name or your server's hostname) []:clca.handan.comEmail Address []:mail.clhandan.com[root@chenliang CA]# ls
certs  clcacert.pem  crl  newcerts  private3.完善目录及文本文件结构:

[root@chenliang CA]# touch /etc/pki/CA/index.txt
[root@chenliang CA]# ls
certs clcacert.pem crl index.txt newcerts private
[root@chenliang CA]# echo 01 > /etc/pki/CA/serial
[root@chenliang CA]# ls
certs clcacert.pem crl index.txt newcerts private serial

在CA上查看证书内容:查看序列号:[root@chenliang CA]# openssl x509 -in clcacert.pem  -noout -serialserial=F0FD9E8DA617E97D查看证书内容:[root@chenliang CA]# openssl x509 -in clcacert.pem  -noout -subjectsubject= /C=CN/ST=hebei\x08:Hebei/L=Handan/O=cl/OU=Tech/CN=clca.handan.com/emailAddress=mail.clhandan.com吊销证书:必须在CA上执行;1.获取客户端证书对应的序列号:openssl x509 -in /etc/pki/CA/certificate -noout -serial2.吊销证书:openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem注意:上述命令中的"SERIAL"要换成准备吊销的证书的序列号;3.生成吊销证书的吊销索引文件;仅需要第一次吊销证书时执行此操作:echo "SERIAL" > /etc/pki/CA/crl/crlnumber4.更新证书吊销列表:openssl ca -genctl -out /etc/pki/CA/crl/ca.crl5.查看CRL:openssl crl -in /etc/pki/CA/crl/ca.crl -noout -text

转载于:https://blog.51cto.com/chenliangdeeper/2096803

利用openssl创建私有CA的步骤和过程相关推荐

  1. 简述ssl协议及利用openssl创建私有CA

    我在这个链接中简单的介绍了下加密解密原理和相关算法及其实现:http://starli.blog.51cto.com/8813574/1671408 CA是什么?为什么需要CA? 先看下面的互联网安全 ...

  2. openssl创建私有ca

    openssl创建私有ca 1.ssl大概内容 PKI:公钥基础设施结构 CA:证书权威机构,PKI的核心 CRL:证书吊销列表,使用证书之前需要检测证书有效性 证书存储格式常见的X509格式 包含内 ...

  3. 在企业内部使用openssl创建私有CA

    随着计算机技术的发展,信息网络技术的应用日益深入,这些应用改进了企业工作方式,提高了工作效率.而如何确保在网络中传输的身份认证.机密性.完整性.合法性.不可抵赖性等问题成为企业进一步发展和推动企业信息 ...

  4. 加密解密技术基础及用OpenSSL创建私有CA

    1.加密解密技术基础 (1)进程通信 传输层协议有TCP,UDP,SCTP等,端口号port表示进程地址,进程向内核注册独占使用某端口. 同一主机上的进程间通信方式:进程间通信(IPC), 消息队列( ...

  5. openssl 创建私有CA

    创建私有CA: openssl的配置文件:/etc/pki/tls/openssl.cnf 1.创建所需要的文件 #touch index.txt #echo 01 > serial # 2.给 ...

  6. 网络通信中的加密解密及openssl和创建私有CA详解

    本文大纲: 1.为什么网络通信要进行数据加密? 2.数据加密方式有哪些?它们是如何进行加密的? 3.通信中是如何进行数据加密传输的? 4.https方式进行数据传输的具体流程 5.SSL 的实现工具O ...

  7. Openssl加密文件及创建私有CA及证书

    # cat /etc/redhat-release CentOS release 6.6 (Final) # uname -r 2.6.32-504.el6.x86_64 首先我们先演示加密文件的方式 ...

  8. 创建私有CA及私有CA的使用

    CA分为公共信任CA和私有CA,若想使用公共信任的CA需要很多的money,如果想要在有限范围内使用CA认证方式,可以自己创建一个.下面了解一下CA及其创建方法: CA的配置文件为 /etc/pki/ ...

  9. openssl工具的使用以及创建私有CA

    openssl软件包在安装之后,主要会生成三段重要内容:加密库 ssl相关库文件 openssl命令行工具 下面就来介绍一下openssl命令行工具的使用: openssl和yum类似,有着许许多多的 ...

  10. linux加密解密基础、PKI及SSL、创建私有CA

    linux加密解密基础.PKI及SSL.创建私有CA 1.加密解密基础:            数据在网络中传输过程中要保证三个要点: (1)数据的完整性:防止数据在传输过程中遭到未授权用户的破坏或篡 ...

最新文章

  1. 信捷步进指令的使用_【笔记】信捷plc应用,指令篇
  2. DevToys - 开发人员的瑞士军刀
  3. java filter 模式,Java设计模式----过滤器模式(挑三拣四)
  4. Html富文本编辑器
  5. 云图说|华为云自研云数据库GaussDB NoSQL,兼容多款NoSQL接口的数据库服务
  6. 【kafka】Kafka常用JMX监控指标整理
  7. 妙用Python集合求解啤酒问题(携程2016笔试题)
  8. 牛客网NOIP赛前集训营 提高组 第5场 T2 旅游
  9. “我觉得,这个项目只需要 2 个小时”
  10. Windows多屏开发小记
  11. Java Servlet 和JSP教程(2)
  12. 哈工大教授车万翔:基于迁移学习的任务型对话系统
  13. 微信声音锁会上传到服务器吗,微信声音锁:你再也不用担心忘记密码了
  14. 宝塔linux 加载zend,Linux CentOS 安装 Zend Guard Loader 组件
  15. 第三章作业题3--队列
  16. Objective-C的方法替换
  17. 那怎样的文档才是好的产品文档呢
  18. 协同OA行业五大关键词
  19. 数据结构---王道408
  20. GG平面图和RNG平面图的matlab实现

热门文章

  1. 深入理解加密、解密、数字签名和数字证书
  2. XML与Java 解析方式
  3. FRR BGP协议分析13 -- ZEBRA路由的处理2
  4. Linux 内核 SMP 代码追踪 --- cpumask
  5. linux设备驱动程序-i2c(1):i2c总线的添加与实现
  6. Android 网络管理
  7. 总结一下linux中的分段机制
  8. Linux acpi off关于Suspend to Disk 问题分析
  9. cgroup学习(五)—— create new cgroup
  10. android camera 拍照流程图