Linux之加密及CA证书

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

加密方法的种类主要分为三种:单向加密,非对称加密,对称加密。

单向加密:不是加密,而是提取数据特征码,主要用于验证数据的完整性。

非对称加密:非对称加密也称公钥加密,密钥成对出现。主要用于密钥交换和数字签名、身份验证等。

对称加密:由于加密方和解密方使用同一对密钥所以称为对称加密。

常见算法

md5:Message Degist,128bit

  sda1:Secure Hash Algorithm 1,160bit

  AESAdvanced data Encryption Standard

CACACertificate Authorty的缩成,是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。CAPKI的核心组成部分。

数字证书:数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开的密钥、名称以及证书授权中心的数字签名。

PKIPKI是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书,核心执行者是CA认证机构。

ssltslssl(Secure Sockets Layer安全套接层)tslTransport Layer Security)是在传输层对网络连接进行加密的,为数据安全提供安全支持。

ssl协议提供的服务主要有:

1)认证用户和服务器,确保数据发送到正确的客户机和服务器;2)加密数据以防止数据中途被窃取;

3)维护数据的完整性,确保数据在传输过程中不被改变。

opensslopenssl是一种多用加密解密工具,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。

opessl的常用工具

 passwd生成密码串

  openssl passwd -1(说明以md5加密) -salt 127888 

 enc:说明openssl是加密还是解密的

      openssl enc -des3(加密为des3-salt -a(ascii) -in(表示在那个文件读入) inittab -out(输出) inintab.des3

              -d 解密

    speed :测试openssl各种加密速度

    basc64表示发送邮件时加密

    echo -n "ddff" | openssl basc64   

    openss1 genrsa -out key.mageedu 1024(位长生成私钥

    rsa  提取密钥

    -pubout提取公钥

    openssl rsa -in key.j -pubout -out kyss.j   

   (umask 077;openss1 genrsa -out key.mageedu 1024)生成一个权限为600的私钥

     openssl md5 单向加密

创建私有CA并实现数字证书签署的过程

  现在我们有两台主机AB其中A机的IP172.16.200.1

B机的IP172.16.200.17

  在这里我们把A机作为一个服务器,B机作为客户端来进行证书的签署。主要步骤如下

配置服务器A

1. 服务器A要先创建一个私有CA即给自己签发一个CA

CA服务器的配置文件的修改步骤如下:

1.1:编辑openssl的配置文件/etc/pki/tls/opessl.cnf

找到下图中的地方更改为dir=/etc/pki/CA

2、创建CA需要的目录和文件

   #mkdir certs newcerts crl

   #touch serial index.txt

   #echo 01 > serial (十六进制从01开始)

3、自荐证书 (生成密钥对),客户端来验证

  3.1生成密钥

# cd /etc/pki/CA

#(umask 077;openss1 genrsa -out private/cakey.pem 2048)

3.2自鉴证书

# openss1 req -x509 -new -keyprivate/cakey.pem -out cacert.pem –days  365

3.3查看证书内容

#openssl x509 -noout –in /private/cakey.pem -text

配置客户端B,也就是证书申请方

我们这里提供ftp服务需要的证书。

1、 ftp服务生成密钥并发起证书申请

1.1创建vsftpd目录并进入创建所需文件

 #mkdir vsftpd

 #cd vsftpd

#mkdir certs (存放证书信息)

#cd certs

1.2生成密钥

#(umask 077l;openss1 genrsa 1024 > vsftpd.key )

1.3发起证书申请

#openss1 req -new -key vsftpd.key -out vsftpd.csr

2、 将证书请求传递个CA服务器

#scp vsftpd.csr root@172.16.200.1:/tmp 表示把证书发送到服务器的tmp目录下。

3、 CA签署证书(在CA服务器上操作,也就是在主机A上进行操作。

#cd /tmp

#openss1 ca -in vsftpd.csr -out vsftpd.crt –days  365

4、 证书签署完成后传递给客户端

#scp vsftpd.csr root@172.16.200.17:/etc/vsftpd/ssl

 表示把证书发送到客户端/etc/vsftpd/ssl的目录下

本文转自  沐木小布丁  51CTO博客,原文链接:http://blog.51cto.com/sxhxt/907928

相关文章
|
2月前
|
算法 安全 网络安全
概念区分:对称加密、非对称加密、公钥、私钥、签名、证书
概念区分:对称加密、非对称加密、公钥、私钥、签名、证书
129 0
|
3月前
|
监控 安全 Linux
在Linux中,如何管理SSL/TLS证书?
在Linux中,如何管理SSL/TLS证书?
|
3月前
|
存储 算法 Linux
在Linux中,如何理解加密工具?如GnuPG和OpenSSL。
在Linux中,如何理解加密工具?如GnuPG和OpenSSL。
|
3月前
|
安全 Linux 应用服务中间件
在Linux中,SSL/TLS证书的作用以及如何在Linux中管理它们?
在Linux中,SSL/TLS证书的作用以及如何在Linux中管理它们?
|
3月前
|
存储 安全 Linux
Linux存储安全:数据加密的实践与策略
【8月更文挑战第19天】数据加密是Linux存储安全的基石之一。通过使用LUKS进行磁盘加密和使用GnuPG进行文件加密,可以显著提高数据的安全性。
99 0
|
5月前
|
安全 网络协议 网络安全
【红队APT】反朔源&流量加密&CS&MSF&证书指纹&C2项目&CDN域前置
【红队APT】反朔源&流量加密&CS&MSF&证书指纹&C2项目&CDN域前置
139 1
|
4月前
|
数据安全/隐私保护
https【详解】与http的区别,对称加密,非对称加密,证书,解析流程图
https【详解】与http的区别,对称加密,非对称加密,证书,解析流程图
159 0
|
6月前
|
安全 Linux 网络安全
|
5月前
|
Web App开发 Ubuntu 安全
Linux中的certutil命令:处理证书与证书数据库的实用工具
`certutil`是Linux下的命令行工具,用于处理X.509证书和证书数据库,常与NSS库配合,服务于Firefox等应用。安装`certutil`可通过`apt-get install libnss3-tools`(Debian/Ubuntu)或`yum/dnf install nss-tools`(RHEL/Fedora/CentOS)。基本操作包括:使用`-L`列出证书数据库中的证书,`-A`添加证书,`-D`删除证书,`-x`导出证书。此外,还能用`-M`修改信任设置,`-C`列出证书链,`-V`验证证书链的有效性。了解这些功能有助于高效管理证书。
|
6月前
|
Linux 数据安全/隐私保护
自动化脚本之加密内容解密适用于Linux
自动化脚本之加密内容解密适用于Linux
48 1
下一篇
无影云桌面