OpenSSL功能之强大,命令组合用法之多,往往让我们的学习不知所措。在此,我们来对openssl命令的使用做一个总结。
OpenSSl命令总览:
语法格式:
openssl command [ command_opts ] [ command_args ]
常用command:
version 用于查看版本信息
enc 用于加解密
ciphers 列出加密套件
genrsa 用于生成私钥
rsa RSA密钥管理(例如:从私钥中提取公钥)
req 生成证书签名请求(CSR)
crl 证书吊销列表(CRL)管理
ca CA管理(例如对证书进行签名)
dgst 生成信息摘要
rsautl 用于完成RSA签名、验证、加密和解密功能
passwd 生成散列密码
rand 生成伪随机数
speed 用于测试加解密速度
s_client 通用的SSL/TLS客户端测试工具
X509 X.509证书管理
verify X.509证书验证
pkcs7 PKCS#7协议数据管理OpenSSL命令---version:
用途:
version命令用来打印版本以及openssl其他各种信息。
用法:
openssl version [-a] [-v] [-b] [-o] [-f] [-p] [-d]
选项说明:
-a:打印所有信息。
-v:仅打印版本信息
-b:打印当前版本构建的日期
-o:库构建时的相关信息
-f:编译参数
-p:平台信息
-d: 列出openssl的安装目录
OpenSSL命令---enc:
用途:
对称加密算法工具。它能够运用块或流算法对数据进行加解密。还能够将加解密的结果进行base64编码。
用法:
openssl enc -ciphername [-in filename] [-out filename] [-pass arg] [-e]
[-d] [-a/-base64] [-A] [-k password] [-kfile filename] [-K key] [-iv IV] [-S salt]
[-salt] [-nosalt] [-z] [-md] [-p] [-P] [-bufsize number] [-nopad] [-debug] [-none]
[-engine id]选项说明:
-ciphername:对称算法名称,此命令有两种使用方式:-ciphername方式或者省略enc直接使用ciphername。
-in filename:要加密/解密的输入文件,默认为标准输入。
-out filename:要加密/解密的输出文件,默认为标准输出。
-pass arg:输入文件如果有密码保护,指定密码来源。
-e:进行加密操作,默认操作。可以省略
-d:进行解密操作。
-a:使用base64编码对加密结果进行处理。加密后进行base64编码,解密前进行base64解密。
-base64:同-a选项。
-A:默认情况下,base64编码为一个多行的文件。使用此选项,可以让生成的结果为一行。解密时,必须使用同样的选项,否则读取数据时会出错。
-k:指定加密口令,不设置此项时,程序会提示用户输入口令。
-kfile:指定口令存放文件。可以从这个口令存放文件的第一行读取加密口令。
-K key:使用一个16进制的输入口令。如果仅指定-K key而没有指定-k password,必须用-iv选项指定IV。当-K key和-k password都指定时,用-K选项给定的key将会被使用,而使用password来产生初始化向量IV。不建议两者都指定。
-iv IV:手工指定初始化向量(IV)的值。IV值是16进制格式的。如果仅使用-K指定了key而没有使用-k指定password,那么就需要使用-iv手工指定IV值。如果使用-k指定了password,那么IV值会由这个password的值来产生。
-salt:产生一个随机数,并与-k指定的password串联,然后计算其Hash值来防御字典攻击和rainbow table攻击。rainbow table攻击:用户将密码使用单向函数得到Hash摘要并存入数据库中,验证时,使用同一种单向函数对用户输入口令进行Hash得到摘要信息。将得到的摘要信息和数据中该用户的摘要信息进行比对,一致则通过。考虑到多数人使用的密码为常见的组合,攻击者可以将所有密码的常见组合进行单向Hash,得到一个摘要组合。然后与数据库中的摘要进行比对即可获得对应的密码。
salt将随机数加入到密码中,然后对一整串进行单向Hash。攻击者就很难通过上面的方式来得到密码。
-S salt:使用16进制的salt。
-nosalt:表示不使用salt。
-z:压缩数据(前提是OpenSSL编译时加入了zip库)。
-md:指定摘要算法。如:MD5 SHA1 SHA256等。
-p:打印出使用的salt、口令以及初始化向量IV。
-P:打印出使用的salt、口令以及IV,不做加密和解密操作,直接退出。
-bufsize number:设置I/O操作的缓冲区大小。因为一个加密的文件可能会很大,每次能够处理的数据是有限的。
-nopad:没有数据填充(主要用于非对称加密操作)。
-debug:打印调试信息。
-none:不对数据进行加密操作。
-engine:指定硬件引擎。注意: 密码可以用来产生初始化密钥key和初始化向量IV。
新版的OpenSSL必须使用-salt选项。
OpenSSL支持的加密算法:des des3 bf cast cast5 rc2 rc4 rc5 aes等
使用实例:
对文件进行base64编码:
# which ls
# cp /bin/ls .
# file ls
# openssl base64 -in ls -out ls.b64
# file ls.b64
对base64编码文件进行解码:
# rm -rf ls
# openssl base64 -d -in ls.b64 -out ls
# file ls
使用des3加密文件并在密码结果中加入salt:
# echo "Hello World" >file.txt
# cat file.txt
# openssl des3 -salt -k 123456 -in file.txt -out file.des3
# cat file.des3
使用des3解密文件,并使用-k指定密码:
# openssl des3 -d -salt -k 123456 -in file.des3 -out file2.txt
# cat file2.txt
使用bf算法加密文件,并将加密结果进行base64编码:
# openssl bf -a -salt -k 123456 -in file.txt -out file.bf
# file file.bf
# cat file.bf
先用base64解码文件,再解密:
# openssl bf -d -salt -a -k 123456 -in file.bf -out file3.txt
# cat file3.txt
从密码文件中读取密码进行加解密:
# echo "123456" >123.txt
# cat 123.txt
# openssl des3 -salt -kfile 123.txt -in file.txt -out file.des3 //加密
# cat file.des3
# openssl des3 -d -salt -k 123456 -in file.des3 -out file2.txt //解密
# cat file2.txt
# openssl des3 -d -salt -kfile 123.txt -in file.des3 -out file3.txt
# cat file3.txt
# echo "654321" >>123.txt
# cat 123.txt
# openssl des3 -salt -kfile 123.txt -in file.txt -out file3.des3
# cat file3.des3
# openssl des3 -d -salt -k 654321 -in file3.des4 -out file4.txt
//解密失败 因为kfile只会读取密码文件的第一行作为密码进行加密
# openssl des3 -d -salt -k 654321 -in file3.des4 -out file4.txt
# cat file4.txt
加密文件并进行压缩
# dd if=/dev/zero of=/tmp/123 bs=100M count=10 //生成一个100M的文件
# openssl des3 -salt -k 123456 -in 123 -out 123.des3 //普通加密
# openssl des3 -salt -k 123456 -z -in 123 -out 123.des3.z //带压缩的加密
# du -sh /tmp/123 /tmp/123.des3 /tmp/123.des3.z //比较文件大小
打印salt、key和IV的信息:
# rm -rf 123.des3
# openssl des3 -salt -k 123456 -p -in 123 -out 123.des3 //打印信息 并加密
# openssl des3 -salt -k 123456 -P -in 123 -out 123.des3.P //仅打印信息 不加密OpenSSL命令---ciphers:
用途:
用来展示加密算法套件的工具。它能够把所有OpenSSL支持的加密算法按照一定规律排列(一般是加密强度)。
用法:
openssl ciphers [-v] [-ssl2] [-ssl3] [-tls1] [cipherlist]
选项说明:
-v:详细列出所有加密套件。包括SSL版本(SSLv2、SSLv3以及TLS)、密钥交换算法、身份验证算法、对称算法、摘要算法以及该算法是否允许出口。
-ssl2:只列出sslv2使用的加密套件。
-ssl3:只列出sslv3使用的加密套件。
-tls1: 只列出tls使用的加密套件。
cipherlist:列出一个cipher list的详细内容。此项能列出所有符合规则的加密套件,如果不加-v选项,它只会显示各个套件名称。cipherlist格式:
openssl ciphers ‘cipherstring1:cipherstring2.....'
1)可以显示一个或多个cipher string套件。多个cipher string直接使用分隔符分割。
2)分隔符:通常使用冒号(:)分割,也可以使用逗号或空格来分割。
3)每一个cipher string前面都可以加上!、-、+
-:表示将这个cipher从List中删除。以后也可以选择再添加回来。
+: 表示将这个cipher移动到List的底部
注意:这个选项不是添加任何新的cipher,而只是移动匹配到的cipher。
!:表示将这个cipher从List中永久删除。
4)@STRENGTH 表示使用加密算法key的长度进行排序。使用实例:
# openssl ciphers -h //列出ciphers参数简要帮助
# openssl ciphers -v -ssl2
# openssl ciphers -v -ssl3
# openssl ciphers -v -tls1
# openssl ciphers 'SHA1' //列出所有使用SHA1算法的套件
# openssl ciphers 'SSLv3' //列出SSLv3所使用的算法
# openssl ciphers 'SHA1+DES' //列出所有包含SHA1和DES的套件
# openssl ciphers -v 'ALL:eNULL' //详细列出所有非加密算法
# openssl ciphers -v 'ALL:!ADH:@STRENGTH' //列出所有不包含匿名DH的算法并排序
# openssl ciphers -v '3DES:+RSA' //仅列出包含3DES和RSA算法的套件且将包含RSA的显示在底部OpenSSL命令---genrsa:
用途:
用来产生RSA私钥。
用法:
openssl genrsa [-out filename] [-passout arg] [-des] [-des3] [-idea] [-f4] [-3]
[-rand file(s)] [-engine id] [numbits]选项说明:
-out fiename: 指定输出文件。如果没有设定此选项,将会输出到标准输出。
-passout arg: 指定密码来源。
-des|-des3|-idea:用来加密私钥文件的三种对称加密算法。
-F4|-3:指定指数。-f4为0x1001
-rand file(s):指定随机种子。
-engine id:硬件引擎。
numbits: 生成的密钥位数。必须是本指令的最后一个参数。默认为512bits。使用实例:
# openssl genrsa -des3 -out prikey.pem -f4 1024
-----------------------------------
转载于:https://blog.51cto.com/shjia/1427138
7464
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
