TLS-openssl基本指令使用手册

最新推荐文章于 2024-06-22 17:29:34 发布
最新推荐文章于 2024-06-22 17:29:34 发布
阅读量3.1k 收藏 7
点赞数 1
文章标签: TLS openssl s_client
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alan_gui/article/details/90860808
版权

       openssl是linux默认安装的实现了SSL/TLS协议和几乎所有加密算法的工具包,功能十分强大而且是开源的。openssl包括libcrypto、libssl,libcrypt实现加密算法,libssl是基于会话的TLS/SSL的库。本文主要是openssl的基本使用手册(CenterOS 7)

一、查看openssl安装的版本

# openssl version -a

 

二、有时候为了测试不同的openssl的版本,需要安装指定版本的openssl

# wget https://www.openssl.org/source/openssl-1.1.0h.tar.gz

# tar -zxvf openssl-1.1.0h.tar.gz

# cd openssl-1.1.0h

# ./config --prefix=/usr/local/openssl --openssldir=/usr/local/openssl enable-ec_nistp_64_gcc_128

# make

# make install

# mv /usr/bin/openssl /usr/bin/bak.openssl

# ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl

如果升级了openssl,需要将新版的openssl的库文件加入到系统的动态链接共享库中。

可以通过ldd命令查看命令所调用的库文件

# ldd $(which openssl) 或 ldd /usr/bin/openssl

# echo "/usr/local/openssl/lib/" >> /etc/ld.so.conf

# ldconfig

# ldconfig -p | grep libssl

# ldconfig -p | grep libcrypt

自己编译安装的openssl是不带根证书的,即ca-certificate,可以下载第三方的最新的PEM格式的可信证书库。

# wget --no-check-certificate https://curl.haxx.se/ca/cacert.pem

下载之后使用 -CAfile 存放路径/cacert.pem

如果想通过默认方式使用之前预安装在linux系统内的根证书的话,要把根证书copy到新版本的openssl的安装目录里。

cp /etc/pki/tls/certs/* /usr/local/openssl/certs

ln -s /usr/local/openssl/certs/ca-bundle.crt /usr/local/openssl/cert.pem

 

三、摘要算法

# openssl dgst -help

# echo "1234567890" >> dgst_test

# openssl dgst -md5 dgst_test

# openssl dgst -sha1 dgst_test

# openssl dgst -sha256 dgst_test

# openssl dgst -sha512 dgst_test

# openssl dgst -sha512 -hex -out dgst_test_sha512 dgst_test

# cat dgst_test_sha512

# man openssl

# md5sum dgst_test

# sha1sum dgst_test

# sha256sum dgst_test

# sha512sum dgst_test

 

四、对称加密

# openssl enc -help

# echo "hello world" >> test_enc

# openssl enc -e -aes128 -a -k 123456789 -in test_enc -out test_enc_aes128_1

# openssl enc -e -aes128 -a -k 123456789 -in test_enc -out test_enc_aes128_2

# openssl enc -e -aes128 -a -k 123456789 -in test_enc -out test_enc_aes128_3

# openssl enc -e -aes128 -a -k 123456789 -in test_enc -out test_enc_aes128_4

# openssl enc -d -aes128 -a -pass pass:123456789 -in test_enc_aes128_1

# echo "123456789" >> passwd_enc_aes128

# openssl enc -d -aes128 -a -pass file:passwd_enc_aes128 test_enc_aes128_2 -in test_enc_aes128_2

# openssl enc -d -aes128 -a -pass stdin test_enc_aes128_3 -in test_enc_aes128_3

# 123456789

# pw = 123456789

# export pw

# openssl enc -d -aes128 -a -pass env:pw -in test_enc_aes128_4

# openssl enc -e -aes128 -a -pass pass:123456789 -in test_enc -p

# openssl enc -e -aes128 -a -pass pass:123456789 -in test_enc -P

以上指令-aes128可以换成其它对称算法

 

五、RSA非对称加密

1、生成私钥

# openssl genrsa -out test_un_enc_prikey 1024

# openssl genrsa -aes256 -passout pass:1234567890 -out test_enc_prikey 2048

读取私钥对应的公钥信息

# openssl rsa -in test_un_enc_prikey -pubout -text

私钥机密与不加密之间相互转换

# openssl rsa -in test_enc_prikey -passin pass:1234567890 -out test_un_enc_prikey

# openssl rsa -in test_un_enc_prikey -aes256 -passout pass:1234567890 -out test_enc_prikey

2、私钥格式转换

使用genrsa的私钥默认的格式是pkcs1-PEM的。

pem格式与der格式转换

# openssl rsa -in test_rsa_prikey -outform der -out prikey.der

# openssl rsa -in prikey.der -inform der -text

# openssl rsa -in prikey.der -inform der -outform pem -out prikey.pem

pkcs8与pkcs1(默认)格式转换

# openssl pkcs8 -help

# openssl pkcs8 -topk8 -in prikey.pem -inform pem -outform pem -nocrypt -out pkcs8_prikey.pem

# openssl pkcs8 -in pkcs8_prikey.pem -nocrypt -out prikey.pem

der格式与pkcs格式转换

openssl pkcs8 -topk8 -in prikey.der -inform der -outform pem -out dertoprikey.pem

3、生成公钥

公钥根据私钥生成

# openssl rsa -pubout -in prikey.pem -out pubkey.pem

# openssl rsa -in prikey.pem -RSAPublicKey_out -out pubkey2.pem

4、公私钥解密

# echo "abcdefghijklmnopqrstuvwxyz1234567890" >> file1

# openssl rsautl -encrypt -inkey pubkey.pem -pubin -in file1 -out enc.file1

# openssl rsautl -decrypt -inkey prikey.pem -in enc.file1 -out file11

 

六、DSA 非对称加密 DSA只能用于签名,不能用于加密

1、直接生成密钥

# openssl dsaparam -genkey -out dsa_1024_prikey.pem 1024

# openssl dsaparam -genkey -out dsa_2048_prikey.pem 2048

# openssl dsaparam -genkey

对未加密的私钥加密

openssl dsa -in dsa_2048_prikey.pem -out dsa_enc_2048_prikey.pem -des3 -passout pass:123456

2、利用参数生成加密密钥

# openssl dsaparam -out dsa_2048_param.pem 2048

# openssl dsaparam -in dsa_2048_param.pem -text -noout

# openssl gendsa -out dsa_des3_2048_prikey.pem -des3 -passout pass:123456 dsa_2048_param.pem

3、使用dsa提取公钥

# openssl dsa -pubout -in dsa_2048_prikey.pem -out dsa_2048_pubkey.pem

# openssl dsa -in dsa_2048_pubkey.pem -pubin -text

 

七、ECDSA非对称加密

生成 ecdsa 私钥,ecdsa通过选择一个椭圆曲线(-name)来设置密钥位数,如secp256k1(prime256v1) 就是生成 256位的ECDSA密钥。

# openssl ecparam -list_curves

# openssl ecparam -genkey -name secp256k1 -out ecprikey.pem

# openssl ec -in ecprikey.pem -text

# openssl ecparam -genkey -name prime256v1 -out ecprikey_enc.pem -param_enc explicit

提取ecdsa公钥

# openssl ec -in ecprikey.pem -pubout -out ecpubkey.pem

# openssl ec -in ecpubkey.pem -pubin -text

 

八、数字签名

数字签名用于身份认证,使用非对称算法。一般都是先摘要再进行签名,如果直接使用私钥加密文件,黑客根据不同的文件加密结果寻找规律,增加私钥被破解的风险。而文件被摘要之后就没有了规律,可规避这类风险。SHA1 和 MD5 都已经不安全了,建议使用 SHA256 或更高位数的算法,考虑到效率问题,建议使用SHA256 算法。

# echo "username:passwd" >> sign_test

1、RSA签名

# openssl dgst -sign prikey.pem -sha256 -out sha256_rsa_sign.test sign_test

# openssl dgst -verify pubkey.pem -sha256 -signature sha256_rsa_sign.test sign_test

2、DSA签名

# openssl dgst -sign dsa_2048_prikey.pem -sha256 -out sha256_dsa_sing.test sign_test

# openssl dgst -verify dsa_2048_pubkey.pem -sha256 -signature sha256_dsa_sing.test sign_test

3、ECDSA签名

# openssl dgst -sign ecprikey.pem -sha256 -out sha256_ecdsa_sign.test sign_test

# openssl dgst -verify ecpubkey.pem -sha256 -signature sha256_ecdsa_sign.test sign_test

 

九、s_client测试

# openssl s_client -help

1、测试链接信息

# openssl s_client -connect www.taobao.com:443 -msg

# openssl s_client -connect www.baidu.com:443 -msgfile filename

2、测试服务器端所支持的协议

# openssl s_client -connect www.taobao.com:443 -tls1

# openssl s_client -connect www.taobao.com:443 -tls1_1

# openssl s_client -connect www.taobao.com:443 -tls1_2

3、测试服务器端所支持的密码套件

# openssl s_client -connect www.taobao.com -cipher ECDHE-RSA-AES128-GCM-SHA256

4、测试服务器端是否包含SNI

       TLS的SNI扩展是为了在同一个IP(IP + port)上支持多张证书。TLS客户端使用这个扩展发送希望访问的主机名,而服务器使用该扩展来选择用以响应的正确证书。SNI支持了虚拟安全托管。

# openssl s_client -connect www.taobao.com:443 -servername www.taobao.com

5、测试服务器端是否支持会话复用

# openssl s_client -connect www.taobao.com:443 -reconnect

# openssl s_client -connect www.taobao.com:443 -reconnect 2>/dev/null |grep -i 'new\|reused'

6、显示服务器端安装的证书链

# openssl s_client -connect www.taobao.com:443 -showcerts

7、测试OCSP stapling

# openssl s_client -connect www.taobao.com:443 -status

8、测试服务器端是否存在心脏出血漏洞

# openssl s_client -connection www.taobao.com:443 -tlsextdebug

一只青牛
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openSSL实现TLS双向认证
新时代农民工
07-26 1285
TLS(传输层安全性)双向认证,也称为客户端认证或互相认证,是一种网络安全协议的扩展,用于建立在传输层上的安全连接。传统的TLS认证只需要服务器验证客户端的身份,而双向认证则要求客户端也验证服务器的身份。在TLS双向认证中,客户端和服务器都必须拥有数字证书。数字证书由可信的第三方证书颁发机构(CA)签发,用于证明实体(如服务器)的身份。以下是TLS双向认证的基本步骤:1. 服务器配置:服务器需要配置受信任的数字证书,该证书由CA签发。配置包括私钥和公钥。
openssl编写SSL,TLS程序
太郎之石的专栏
04-18 2899
openssl编写SSL,TLS程序发布日期:2002-09-19文章内容:--------------------------------------------------------------------------------作者:yawl(yawl@nsfocus.com)日期:2000-08-15一:简介:SSL(Secure Socket Layer)是netscape公司提出的
c++实战区块链核心密码学-基于openssl
06-13
面向工程应用:市面上的一些密码学课程和密码学的书籍,很多都是从考证出发,讲解算法原理并不面向工程应用,而我们现在缺少的是工程应用相关的知识,本课程从工程应用出发,每种技术都主要讲解其在工程中的使用,并演示工程应用的代码。 从零实现部分算法: 课程中实现了base16编解码 ,XOR对称加解密算法,PKCS7 pading数据填充算法,通过对一些简单算法的实现,从而加深对密码学的理解。理论与实践结合: 课程如果只是讲代码,同学并不能理解接口背后的原理,在项目设计中就会留下隐患,出现错误也不容易排查出问题。如果只讲理论,比如对密码学的一些研究,对于大部分从事工程应用的同学并没有必要,而是理论与实践结合,一切为了工程实践。代码现场打出: 代码不放在ppt而是现场打出,更好的让学员理解代码编写的逻辑,老师现场敲出代码正是展示出了工程项目的思考,每个步骤为什么要这么做,考虑了哪些异常,易学不枯燥: 课程为了确保大部分人开发者都学得会,理解算法原理(才能真正理解算法特性),学会工程应用(接口调用,但不局限接口调用,理解接口背后的机制,并能解决工程中会出现的问题),阅读算法源码但不实现密码算法,,并能将密码学投入到实际工程中,如果是想学习具体的加密算法实现,请关注我后面的课程。
openssl常用命令
最新发布
weixin_46383092的博客
06-22 269
CAcreateserial:这个选项用于指示 OpenSSL 在指定的序列号文件不存在时创建一个新的序列号文件,并将其命名为指定的 CA 证书文件的名称加上 .srl 后缀。例如,如果 CA 证书文件是 ca.crt,那么序列号文件将被命名为 ca.srl。OpenSSL 是一个功能强大的工具,支持广泛的加密操作。
SSL TLS openssl 详解
yunxiaobaobei的博客
04-04 3156
首先我们来看下他们之间的关系。SSL(Secure Socket Layer)安全套接层是Netscape公司率先采用的网络安全协议。TLS(Transport Layer Security)传输层安全性协议也是一种忘网络安全协议,他是基于SSL开发的。可以看作是SSL的升级版。openssl是一个是一个开发源代码的软件库包,其主要库是以C语言所写成,他实现了SSL和TLS协议。libssl是 TLSv1.3 (RFC 8446) 之前所有 TLS 协议版本的实现。libCrypto。
SSL/TLS 介绍以及如何利用openssl生成证书
m0_58085501的博客
02-28 3287
TLS:Transport layer Security 传输层安全性,是一种加密协议。本文比较详细的介绍了TLS基本工作流程。
Openssl 建立双向认证的 SSL/TLS 通信
嵌入式攻城狮
11-01 1800
利用 Openssl 在两台 uBuntu 之间建立双向认证的 TLS/SSL 通信
基于OpenSSL的SSL/TLS加密套件全解析
new9232的博客
01-21 3713
SSL/TLS协议的加密套件是定义了在一次连接中所使用的各种加密算法的组合。它包括以下几个主要部分
TLS-01蓝牙模块使用手册V1.31
08-03
TLS-01蓝牙模块使用手册V1.31】是深圳蜂汇物联技术有限公司提供的关于TLS-01蓝牙模块的技术文档,该手册详细介绍了模块的各项参数、引脚功能、尺寸规格以及通信方式,旨在帮助用户更好地理解和使用此模块。...
蜂汇TLS-01 蓝牙模块使用手册
01-06
蜂汇物联科技推出的 TLS-01 蓝牙无线透传模块是基于 TELINK 公司的 TLSR8266F512 芯片研发的低功耗 BLE 射频模块,该手册详细介绍了怎么使用该模块
rust-tls-api:用于Rust的TLS API,以及在单独包装箱中通过native-tlsopenssl进行的API实现
02-18
Rust TLS API和实现几个板条箱: tls-api — TLS API,没有任何实现,也没有依赖性tls-api-native-tls —通过板条箱实现TLS API tls-api-openssl —通过板条箱实现TLS API tls-api-rustls —通过板条箱实现TLS API ...
extract-tls-secrets:使用Wireshark快速解密HTTPSTLS连接
05-07
然后通过以下两种方式之一将其附加到Java进程:启动时附加将启动参数添加到JVM选项: -javaagent:<path>/extract-tls-secrets-4.0.0.jar=<path> 例如,要从jar文件启动应用程序,请运行: java -javaagent: ~ /...
tls-cipher-list-policy
05-14
const tls_policy = require ( 'tls-cipher-list-policy' ) ; if ( ! tls_policy . checkBuiltIn ( ) ) { console . warn ( 'WARNING: Not using the built TLS Cipher List. Reverting!' ) ; tls_policy . ...
网络协议(十二):HTTPS(SSL/TLSTLS1.2的连接)
从基础到源码解析的学习记录
03-08 1558
客户端发送用的会话密钥、服务器发送用的会话密钥等。
利用OpenSSL建立SSL安全通信(C/S)
liu942947766的博客
08-10 945
可以进行tls双向认证,并且可以选定protocol,支持tlsv1.2 分别对应客户端和服务端,后续可以通过openssl engine引擎进行算法替换。
openssltls 命令和相关使用心得
吴东方的博客
12-28 3157
声明:本文基于 openssl 1.1.1f 版本 服务端: Usage: s_server [options] Valid options are: -help Display this summary -port +int TCP/IP port to listen on for connections (default is 4433) -accept val TCP/IP option...
OpenSSL:适用TLS与SSL协议的全功能工具包,通用加密库
小小的进步
07-04 852
OpenSSL:适用TLS与SSL协议的全功能工具包,通用加密库
C语言使用openssl库解析TLS报文(SNI和证书)
Chuancey的博客
02-15 7212
项目中需要对TLS报文中SNI和证书部分进行过滤,并且之前并没有接触过这方面的内容,为了解决这一需求,期间学习了不少知识,也走了不少弯路。就写下这篇博客记录分享一下。项目背景:项目是一个类似防火墙的软件,可以过滤特定的TLS流量。实现原理就是通过对TLS数据包流量进行解析,得到想要过滤的字段数据,根据过滤规则决定是否放行该TLS流量。本次需要过滤的TLS数据包主要针对SNI和证书,TLS报文的版本为1.2。使用版本为1.0.2k的openssl库进行C编程。
--default-tls-container-ref
06-07
`--default-tls-container-ref`是OpenStack中一些服务(如Neutron LBaaSv2)用于指定默认的TLS容器引用的参数。该参数指定了一个容器引用,该容器引用包含了用于终止TLS流量的SSL证书和私钥。 例如,在使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值