OpenSSL 是一个开源项目,其组成主要包括以下三个组件: openssl(多用途的命令行工具)libcrypto(加密算法库), libssl(加密模块应用库,实现了ssl及tls),OpenSSL可以实现对称加密,非对称加密,秘钥证书管理等功能,其配置文件是/etc/pki/tls/openssl.cnf。
openssl的命令格式为:
openssl command [ command_opts ] [ command_args ]
有众多的子命令,常用的命令如下:
1.对称加密
对称加密需要使用的标准命令为 enc ,用法如下:
openssl enc -[e/d] [-a] [-salt] -Cipher -in /PATH/TO/SOMEFILE -out /PATH/TO/SOMEFILE
其中选项的含义如下:
-e:加密
-d:解密
-a:将数据变为base64编码
-salt:添加随机数
-Cipher:加密的算法
示例:
[root@localhost ~]# openssl enc -e -des3 -a -salt -in /etc/fstab -out /tmp/fstab.ciphertext
[root@localhost ~]# openssl enc -d -des3 -a -salt -in /tmp/fstab.ciphertext -out /tmp/fstab
2.单向加密
单向加密需要使用的标准命令为 dgst ,用法如下:
openssl dgst -Cipher /PATH/TO/SOMEFILE
示例:
[root@localhost ~]# openssl dgst -md5 /tmp/fstab
MD5(/tmp/fstab)= b0fb6e1621e110634413c55f68a90e63 <== 加密结果
3.生成用户密码
生成密码需要使用的标准命令为 passwd ,用法如下:
openssl passwd -1 -salt SALT -in /PATH/TO/SOMEFILE
其中选项的含义如下:
-1:使用md5加密算法
-salt:加入随机数,最多8位随机数
示例:
[root@localhost ~]# openssl passwd -1 -salt 12345678 -in /tmp/fstab
$1$12345678$xek.CpjQUVgdf/P2N9KQf/
$1$12345678$BKXiUjICG7qFC8BRJRWBl.
$1$12345678$en0qJXwODP8tCBGqSaVAN.
$1$12345678$3Nvx1hi76zeTLBVRcnHwC/
$1$12345678$BKXiUjICG7qFC8BRJRWBl.
$1$12345678$DhWBXWXjiGsrWOkkTde0o0
$1$12345678$p6ubnFI1Kq7NvTyt848Oc0
$1$12345678$BKXiUjICG7qFC8BRJRWBl.
$1$12345678$jt5J1Qih3ZsI7tftNe4SX/
$1$12345678$V6ym0q1XvBSJ9WsVRszX8/
$1$12345678$fj7kvf41m.tXY91vmAu2D0
4.生成随机数
生成随机数需要用到的标准命令为 rand ,用法如下:
openssl rand -base64|-hex NUM
其中选项含义如下:
-base64:使用base64 编码格式
-hex:使用16进制编码格式
NUM:字节数,当选项为-hex时,每个字符4位,出现的字符数为NUM*2
示例:
[root@localhost ~]# openssl rand -base64 16
3PcxcRHmnsgHNwZuhsxerA==
[root@localhost ~]# openssl rand -hex 16
7c79373b6315392add3f76ad598c0bce
5.生成密钥对
需要先使用 genrsa 标准命令生成私钥,然后再使用 rsa 标准命令从私钥中提取公钥
生成私钥:
openssl genrsa -out /PATH/TO/PRIVATEKEY.FILE NUM_BITS(NUM_BITS默认为2048)
[root@localhost ~]# (umask 077; openssl genrsa -out /tmp/key.privatekey 2048)
小括号表示在子shell中进行,并设置其umask为077,保证密钥文件只能自己读写
提取公钥:
openssl rsa -in /PATH/FROM/PRIVATEKEY.FILE -pubout
[root@localhost ~]# openssl rsa -in /tmp/key.privatekey -pubout
writing RSA key
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzue9Q//ZyodcAvslGsqj
EKcfh3z28dnJM3cuL7aOB1kCu3uUlE4BPTADYtxAuESvrqvebH3hAC3MNd+8Au/x
DpunasH45tb+UaojP9Zwiynd1lKkBwdDOjYhKzpUMh+qWDJatdxHsON/59LFA7fd
2m5ktYzxCaRuRSX7LOzWL5QVDrwrLfQBl9aYRR9tHNRrAJxxvGRlqvuOf2Z37ZYM
wOkx8ikJNQa+xnQVegZp7l5RBwtCjIyVAOPWg2cYFMk8CtBncLqQWYJsl2KsSh3F
lTbDsAgIKEID2w6Jh2kT0ig5W8xA/2Ko+Rzb4B2lWjFWlUdVqFoajJhCMJzWmKGt
kQIDAQAB
-----END PUBLIC KEY-----