2. 程式人生 > >Linux 安全加密通信openssl介紹

Linux 安全加密通信openssl介紹

阿新 發佈:2018-05-09
linux openssl

先來介紹下三種加密方式:

  1. 對稱加密
  2. 公鑰加密
  3. 單向加密

對稱加密

技術分享圖片

實現工具openssl enc介紹

[root@node1 sh]# man enc
enc - symmetric cipher routines   對稱密碼
-in filename  
-out filename
-salt
-S   十六進制salt
-nosalt

-e  加密 encrypt the input data
-d  解密decrypt the input data.
-a  -base64  加密得到base64
-A  得到一行的base64
-p  print out the key and IV used.錯誤的話會報錯
-P  print out the key and IV used.錯誤的話會不會輸出 明文
-z  壓縮

-pass pass:"123"      #密碼是123  
-pass pass:123        #密碼是123  
-pass evn:VAR         #密碼從環境變量VAR中去  
-pass file:p.txt      #密碼從文件p.txt第一行去,不包括換行符,註意DOS格式的^M及回車符。  
-pass fd:3            #密碼從文件描述符3中讀  
-pass stdin           #標準輸入

字符串加密解密

#默認salt  des3
[root@node1 sh]# echo ‘zander‘|openssl enc -e  -des3 -salt -pass pass:"99" -a
U2FsdGVkX194kB7nt8HybghJn3KAHoIo
[root@node1 sh]# echo "U2FsdGVkX194kB7nt8HybghJn3KAHoIo"| openssl enc -d -des3 -salt -pass pass:"99" -a
zander

#指定salt  aes256
[root@node1 sh]# echo ‘zanderzanderzander‘|openssl enc -e  -aes256 -S 012F -pass pass:"99" -a
U2FsdGVkX18BLwAAAAAAAFPXPKSxoUEf7dQpfiY73AwBz3aaH00+pVnf+W54DT0k
[root@node1 sh]# echo "U2FsdGVkX18BLwAAAAAAAFPXPKSxoUEf7dQpfiY73AwBz3aaH00+pVnf+W54DT0k"| openssl enc -d -aes256 -S 012F -pass pass:"99" -a
zanderzanderzander

文件操作

#保存到文件
[root@node1 test]# openssl enc -e -des3 -a -salt -in fstab -out fstab.cipher -pass pass:abc
[root@node1 test]# cat fstab.cipher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#解密
[root@node1 test]# openssl enc -d -des3 -a -salt -in fstab.cipher -out fstab.decrypt -pass pass:abc
[root@node1 test]# cat fstab.decrypt

#
# /etc/fstab
# Created by anaconda on Sun Apr 22 06:26:44 2018
#
# Accessible filesystems, by reference, are maintained under ‘/dev/disk‘
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
UUID=7ceb028a-a8b8-467c-b6d4-36910c06c5ac /                       xfs     defaults        0 0
UUID=3d81b92c-abeb-41f5-8de0-b46d3ffbcf4c /boot                   xfs     defaults        0 0
UUID=943c7e04-b733-42fe-a1e2-eabf93693f6b swap                    swap    defaults        0 0
[root@node1 test]# diff fstab fstab.decrypt

公鑰加密

公鑰加密也稱非對稱加密,私鑰生產依賴隨機數
/dev/random:僅從熵池返回隨機數;隨機數用盡,阻塞;
/dev/urandom:從熵池返回隨機數;隨機數用盡,會利用軟件生成偽隨機數,非阻塞;
技術分享圖片

公鑰私鑰生產 

#(umask 077;openssl genrsa 1024 >mykey.private)  # (umask 077;openssl genrsa -out mykey.private 1024)
#生產私鑰
[root@node1 test]# (umask 077;openssl genrsa -out mykey.private 1024)   #() 中的命令要在子shell中運行,  umask 077 不影響默認
Generating RSA private key, 1024 bit long modulus
....++++++
....................................................++++++
e is 65537 (0x10001)
[root@node1 test]# ll mykey.private
-rw-------. 1 root root 887 May  8 09:50 mykey.private

#提取公鑰  openssl  rsa  -in mykey.private -pubout  -out  mykey.public
[root@node1 test]# openssl rsa  -in mykey.private -pubout > mykey.public  
writing RSA key
[root@node1 test]# openssl rsautl -encrypt -inkey mykey.public -pubin -in w.txt -out w.en
[root@node1 test]# openssl rsautl -decrypt -inkey mykey.private -in w.en -out w.de
[root@node1 test]# diff w.txt w.de
[root@node1 test]#

單向加密

技術分享圖片

工具openssl dgst

[root@node1 test]# man dgst
-c:打印出兩個哈希結果的時候用冒號來分隔開。僅僅設置了[-hex]的時候有效。
-hex:顯示ASCII編碼的十六進制摘要結果,默認選項。
-d:打印出BIO調試信息值。
-binary:以二進制的形式來顯示摘要結果值。
-r:用coreutils格式來輸出摘要值。
-out filename:輸出對象,默認為標準輸出。
-sign filename:用filename中的私鑰文件對數據進行簽名。
-keyform arg:filename中的證書格式,該命令中僅僅支持PEM以及ENGINE格式。
-verify filename:用filename中的公鑰文件對數據進行驗證簽名。輸出結果僅僅是"Verification OK" 和 "Verification Failure"中的一種。
-hmac key:用密鑰“key”創建一個哈希值MAC。    很好用
file:你要哈希的文件,如果沒有指定,就使用標準輸入。

字符串操作

#字符串
#-----------------shell--------------------------------
[root@node1 test]# echo -n zander|openssl dgst -md5
(stdin)= 4d484333d33a97eaf9c50d617301778b
#-----------------python--------------------------------
import hashlib
hl = hashlib.md5()
hl.update("zander".encode(encoding=‘utf-8‘))
print(hl.hexdigest())
#4d484333d33a97eaf9c50d617301778b

#強烈推薦用hmac
#-----------------shell--------------------------------  
[root@node1 test]# echo -n zander|openssl dgst -sha512 -hmac ‘abc‘
(stdin)= f358e2e97da822e152a2f946ac1e629d9adcf14d2f1b2aafabc357659a1ac8c8a9cc728f5f6cc6413ba836a888779e4789921ffdc932c4bd39ba362416a22703
#-----------------python--------------------------------
import hashlib,hmac
hl = hmac.new(‘abc‘.encode(encoding=‘utf-8‘), "zander".encode(encoding=‘utf-8‘), digestmod=‘sha512‘)
print(hl.hexdigest())
##f358e2e97da822e152a2f946ac1e629d9adcf14d2f1b2aafabc357659a1ac8c8a9cc728f5f6cc6413ba836a888779e4789921ffdc932c4bd39ba362416a22703

文件md5

#文件md5值
[root@node1 test]# openssl dgst -md5 fstab
MD5(fstab)= df49cbcbbc00c2e8cf302a458eed1388

[root@node1 test]# md5sum fstab
df49cbcbbc00c2e8cf302a458eed1388  fstab

md5加密

#密碼
[root@node1 test]# man sslpasswd  
#只支持 md5

[root@node1 test]# echo zander|openssl passwd -1 -salt 88 -stdin
$1$88$qMX4lD4kTYz5R5q/ZfKK1/

ssl 握手圖解

技術分享圖片

網絡加密過程分析

技術分享圖片

構建一個企業級後臺https雙向認證後臺

1、構建私有CA:在確定配置為CA的服務上生成一個自簽證書,並為CA提供所需要的目錄及文件即可;

#(1) 生成私鑰;
[root@node1 sh]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem  4096)
[root@node1 sh]# ll /etc/pki/CA/private/cakey.pem
-rw-------. 1 root root 3243 May  8 09:49 /etc/pki/CA/private/cakey.pem

#(2) 生成自簽證書;
[root@node1 sh]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:zhejiang
Locality Name (eg, city) [Default City]:nb
Organization Name (eg, company) [Default Company Ltd]:zander
Organizational Unit Name (eg, section) []:ops
Common Name (eg, your name or your server‘s hostname) []:ca.zander.com
Email Address []:

[root@node1 sh]# ll /etc/pki/CA/cacert.pem
-rw-r--r--. 1 root root 2004 May  8 10:00 /etc/pki/CA/cacert.pem

#(3) 為CA提供所需的目錄及文件;
[root@node1 sh]# mkdir  -pv  /etc/pki/CA/{certs,crl,newcerts}
[root@node1 sh]# touch  /etc/pki/CA/{serial,index.txt}
[root@node1 sh]# echo  01 > /etc/pki/CA/serial

2、客戶端 請求簽證

#客戶端
[root@marvin yii_test]# pwd
/usr/local/www/nginx/conf/ssl/yii_test

[root@marvin yii_test]# openssl req -new -key httpd.key -out httpd.csr -days 3650
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:zhejiang
Locality Name (eg, city) [Default City]:nb
Organization Name (eg, company) [Default Company Ltd]:zander      #申請ca組織必須跟ca保持一致!
Organizational Unit Name (eg, section) []:Ops
Common Name (eg, your name or your server‘s hostname) []:yii-test.local
Email Address []:

Please enter the following ‘extra‘ attributes
to be sent with your certificate request
A challenge password []:abcd
An optional company name []:

#發送給ca服務進行簽證
[root@marvin yii_test]# scp httpd.csr  [email protected]:~/

3、ca簽證,並返回

[root@node1 ~]# openssl ca  -in httpd.csr -out /etc/pki/CA/certs/yii-test.crt -days 3650
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 2 (0x2)
        Validity
            Not Before: May  8 23:46:53 2018 GMT
            Not After : May  5 23:46:53 2028 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = zhejiang
            organizationName          = zander
            organizationalUnitName    = Ops
            commonName                = yii-test.local
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                AE:25:74:75:C3:EE:E4:FF:B4:17:F6:28:B4:23:1F:61:67:55:35:DF
            X509v3 Authority Key Identifier:
                keyid:F8:3B:8D:6B:EF:B8:AE:13:9E:97:81:06:B3:E4:7C:A6:18:68:16:10

Certificate is to be certified until May  5 23:46:53 2028 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
[root@node1 ~]# cat /etc/pki/CA/index.txt
R   280505142027Z   180508143504Z   01  unknown /C=CN/ST=zhejiang/O=zander/OU=Ops/CN=www.zander.com
V   280505234653Z       02  unknown /C=CN/ST=zhejiang/O=zander/OU=Ops/CN=yii-test.local

#返回客戶端簽證證書  和  ca服務器的證書
[root@node1 ~]# scp /etc/pki/CA/certs/yii-test.crt  [email protected]:/usr/local/www/nginx/conf/ssl/yii_test
#服務器發送ca公鑰給客戶端   客戶端認證時候需要
[root@node1 ~]# scp /etc/pki/CA/cacert.pem   [email protected]:/usr/local/www/nginx/conf/ssl/yii_test

4、以nginx為例配置客戶端服務

server {
    charset utf-8;
    client_max_body_size 128M;

    listen 443;
    server_name yii-test.local;
    root    /mydata/code/php/yii-test.dev/web;
    index       index.php;

    ssl on;
    ssl_certificate     /usr/local/www/nginx/conf/ssl/yii_test/yii-test.crt;
    ssl_certificate_key  /usr/local/www/nginx/conf/ssl/yii_test/httpd.key;
    ssl_client_certificate /usr/local/www/nginx/conf/ssl/yii_test/cacert.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
#    ssl_verify_client on;

    location / {
        try_files $uri $uri/ /index.php?$args;
    }

    location ~ \.php$ {
        include fastcgi.conf;
        fastcgi_pass   127.0.0.1:9000;
        try_files $uri =404;
    }

    error_page 404 /404.html;
        location ~ /\.(ht|svn|git) {
        deny all;
    }
}

技術分享圖片
以上https配置完畢。

5、配置https雙向認證 客戶端配置

[root@marvin yii_test]# openssl pkcs12 -export -clcerts -inkey httpd.key  -in yii-test.crt  -out yii-test.p12   #p12文件是客戶端通過私鑰跟以簽證證書生產
Enter Export Password:
Verifying - Enter Export Password:
[root@marvin yii_test]# ls
httpd.key  yii-test.crt  yii-test.p12

6、修改nginx配置文件 開啟雙向認證

    ssl on;
    ssl_certificate     /usr/local/www/nginx/conf/ssl/yii_test/yii-test.crt;
    ssl_certificate_key  /usr/local/www/nginx/conf/ssl/yii_test/httpd.key;
    ssl_client_certificate /usr/local/www/nginx/conf/ssl/yii_test/cacert.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_verify_client on;

客戶需要安裝yii-test.p12訪問
技術分享圖片
技術分享圖片

Linux 安全加密通信openssl介紹

相關推薦

Linux 安全加密openssl介紹

linux openssl先來介紹下三種加密方式: 對稱加密 公鑰加密 單向加密 對稱加密 實現工具openssl enc介紹 [root@node1 sh]# man enc enc - symmetric cipher routines 對稱密碼 -in filename -out fi

擼代碼--linux進程(基於共享內存)

-- log pac 字符指針 clas fcn eno csdn printf 1.實現親緣關系進程的通信,父寫子讀 思路分析:1)首先我們須要創建一個共享內存。 2)父子進程的創建要用到fork函數。fork函數創建後,兩

linux同步與

數據不一致 sha 能夠 屬性。 異常終止 內存拷貝 互斥鎖 協議 關聯 這幾天讀完了UNP v2,對進程間通信與同步的方式有所了解,現對主要的知識點總結如下: 根據出現的歷史,先有的管道,FIFO,信號,然後是systemV IPC,再是後來的Poxis IPC,syst

linux網絡

from 初始 har set %d list print size 維護 很老了的代碼了,呵呵 最近在復習呢 //server #include <stdio.h> #include <stdlib.h> #include <string

Liunx 部署郵件TLS/SSL加密服務

validity size challenge asi common add ask fix als 部署郵件TLS/SSL加密通信服務一.部署普通郵件服務器1) 搭建並檢測郵件服務的發送服務 [root@mail ~]# rpm -q postfix

Android中的常見機制和Linux中的機制

另一個 mes TCP/IP 物理內存 ram 中一 最簡 雙工 erp Handler Handler是Android系統中的一種消息傳遞機制,起作用是應對多線程場景。將A進程的消息傳遞給B線程,實現異步消息處理。很多情況是將工作線程中需要更新UI的操作消息傳遞給UI主線

郵件TLS/SSL加密

服務配置 ESS 接收郵件 郵件服務器 text ls -lh for load ech 案例1:郵件TLS/SSL加密通信 1 案例1:郵件TLS/SSL加密通信1.1 問題 本案例要求為基於Postfix+Dovecot的郵件服務器提供加密通信支持,主要完成以下任務操作

【轉】如何基於linux進程設計方案

進程間 由於 其中 共享存儲 實驗 管道 軟件 我們 ems 前言 linux下的進程通信手段基本上是從Unix平臺上的進程通信手段繼承而來的。而對Unix發展做出重大貢獻的兩大主力AT&T的貝爾實驗室及BSD(加州大學伯克利分校的伯克利軟件發布中心)在進程間通信方

ZMQ示例:使用 curve 進行加密

pubkey style sets 打印 發送 ons nts page 我們 1. ZMQ 官方文檔 ZMQ 的官方文檔中關於 curve 的介紹如下: Client and server roles A socket using CURVE can be

Mina SSL Filter安全加密過濾器相關知識介紹

SslFilter過濾器是負責管理資料的加密和解密通過安全連線。每當你需要建立一個安全連線,或將現有的連線使它安全,你必須新增SslFilter過濾器鏈。 任何會話可以修改它的資訊過濾器鏈,它允許使用協議像startTLS開啟連線。 請注意,雖然這個名字包括SSL,Ssl

田螺便利店—filezilla實現Linux和windows(二)

rmi 更改 管理 ssh配置 客戶 linu 說明 正常 root filezilla,FileZilla是一個免費開源的FTP軟件,分為客戶端版本和服務器版本,具備所有的FTP軟件功能。可控性、有條理的界面和管理多站點的簡化方式使得Filezilla客戶端版成為一個方便

田螺便利店—filezilla實現Linux和windows

文件 實現 com img filezilla 但是 .com 9.1 使用 新站點改為sftp,端口為22 2,虛擬機通過橋接模式連網,ip地址為:192.168.119.147 已通過新建站點方式(SFTP)連接服務器(使用user賬戶),但是在使用系統root賬

網絡安全基礎和OpenSSL

openssl 建立私有CA 一、數據安全的定義 數據安全由NIST(美國國家標準技術研究研究)提出, 主要有三個方面: 保密性: 數據保密性 數據隱私性 完整性 數據完整性 系統完整性 可用性 二、數據所存在的風險 數據最主要的風險是安全攻擊, 分為主動攻擊和被動攻擊: 被動攻擊: 竊

網絡安全加密算法)

secret 加密算 數據完整性 進行 -- ascll 地址尋址 數據包 公鑰 一、網絡七層模型 https://baike.baidu.com/item/%E4%B8%83%E5%B1%82%E6%A8%A1%E5%9E%8B/1441391 應用層網絡服務與最終用戶的

zigbee 安全加密鏈接密鑰

def fine 隨機 網絡通 app ast 密鑰 define 上電 ---恢復內容開始--- #define KEY_TYPE_TC_MASTER 0 // Trust Center Master Key信任中心主密鑰#define KEY_TYPE_

linux安全加密篇(三)—openssl工具和CA證書

OpenSSL:開源專案 三個元件: openssl: 多用途的命令列工具,包openssl libcrypto: 加密演算法庫,包openssl-libs [[email protected] data]# openssl-libs libssl:加密模組

linux安全加密篇(四)—openssl證書申請和建立CA

OpenSSL證書申請 1、PKI: Public Key Infrastructure CA            證書頒發機構 RA            證書請求機構 request CRL          2、建立私有CA: 搭建CA OpenCA

linux安全加密之SSL\TLS協議、CA、openssl的概述和使用

http://blog.51cto.com/6638225/1855174 內容: 1、通訊加密型別及演算法 2、TLS/SSL協議的引入及其通訊過程 3、CA、數字簽名的引入 4、一個安全的資料通訊交換過程 5、opens

[OS] Linux進程、線程方式總結

信號量 all http 命名 信號 .com 數據結構 rem pip 轉自:http://blog.sina.com.cn/s/blog_64b9c6850100ub80.html Linux系統中的進程通信方式主要以下幾種: 同一主機上的進程通信方式 * UNI

Linux下復雜PC問題——多進程編程/號量/共享存儲區

types 進程 子進程 mic 多進程編程 代碼 spa 類型 作用 進程相關函數 pid_t fork(); 頭文件:unistd.h,sys/types.h 作用:建立一個新進程(子進程),子進程與原進程(父進程)共享代碼段,並擁有父進程的其他資源(數據、堆棧等