由博主的上一篇博文《网络中数据如何保证数据的安全性?》中介绍得知,CA 具有注册和颁发证书的功能? 但是,证书到底具有哪些信息或者遵循哪些标准呢? 此次博客从这里开始介绍。
一、证书制作的标准
目前使用最广泛的是由 ITU-T 组织定义了证书的制作规范 x509。主要定义了证书结构和认证协议标准。是基于公钥密码体制和数字签名的服务。
在电子商务中,IP,SSL/TLS,S/MIME中都使用了 x509 标准。到目前为止已经有三版了,最新版的 x509 标准定义的证书格式是:
字段说明:
版本号:说明证书采用x509的版本
证书序列号:原来标明证书的个数,每发一个证书序列号就会加1
算法参数:签名算法
发行者名称:CA 的名称
有效日期:证书的有效期
主体名称:证书拥有者的名称,可能是用户名或主机名。
公钥:申请者提供的公钥
发行者ID:CA 的编号
主题ID: 拥有者的编号,CA 的生成
附加信息:其他附加请求
CA的签名:CA 签名信息
二、SSL/TLS
SSL(Secure Socket Layer/Transport Layer Security),是一种安全协议。
SSL是应用层与传输层之间的协议,有 sslv1,sslv2,sslv3版本。TLS是仿照SSL的功能,tlsv1等价于sslv3。应用程序如果使用SSL的功能话,需要调用 SSL 的公共库。
以 web 服务访问为例,ssl会话建立的过程大致如下:
三、OpenSSL项目
OpenSSL是一个开源项目,实现了数据的加密解密,证书认证等功能。主要有 3 部分组成:
openssl:提供 openssl 命令行工具
libssl: 实现 ssl 协议
libcrypto: 公共加密库,里面实现了好多的加密算法
openssl命令的使用:
# 示例 # 查看版本号 [root@centos6-5 ~]# openssl version OpenSSL 1.0.1e-fips 11 Feb 2013 # 利用 MD5 算法生成用户密码 [root@server ~]# openssl passwd -1 -salt `openssl rand -hex 4` Password: $1$8da8005e$3rBnudq4DtUPDtB5oX/AQ0 # 提取特征码,实现单向加密 [root@centos6-5 ~]# openssl dgst -md5 /etc/passwd MD5(/etc/passwd)= a957b39dff384602a7048b758a046695 [root@centos6-5 ~]# openssl dgst -out ./md5-passwd -md5 /etc/passwd [root@centos6-5 ~]# cat ./md5-passwd MD5(/etc/passwd)= a957b39dff384602a7048b758a046695 # 实现对称加密 # -a 是基于 base64 编码,-e 加密 [root@centos6-5 ~]# openssl enc -des3 -e -a -salt -in ./md5-passwd -out ./md5-passwd.enc enter des-ede3-cbc encryption password: Verifying - enter des-ede3-cbc encryption password: [root@centos6-5 ~]# cat ./md5-passwd.enc U2FsdGVkX1/1B23N1i5DH5fmBVX1vHMG6ko2yBtt0XchzRExE1z8RaCR5NU98w5q vYITDKLWWzL4ilW1aSlnq3fAVLS6cI9b # 解密查看 # -d 解密 diff命令查看俩个文件的差异 [root@centos6-5 ~]# openssl enc -des3 -d -a -salt -in ./md5-passwd.enc -out ./md5-passwd2 enter des-ede3-cbc decryption password: [root@centos6-5 ~]# diff ./md5-passwd ./md5-passwd2 # 生成秘钥 [root@centos6-5 ~]# (umask 077;openssl genrsa -out /root/mykey 1024) Generating RSA private key, 1024 bit long modulus ..........++++++ ...................++++++ e is 65537 (0x10001) [root@centos6-5 ~]# cat /root/mykey -----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQC6DEaXhrKwnB0JM7VvLFV1TxQmXFjEKIxoDUugBeCZ1mWt1FEL pi7hiN2u3BGBwrbwKAZj8I55Z6pGSXEcKmMMTf1vbUopO9tUknV7nfIGjQeBzwqB hPK9+gj4xK/LvLr/FM8+WcxXW04FFNNW8WGz7uwUgKbW6XtsjMXbVLuVpwIDAQAB AoGAVp+0loSe2mA1nL04suSffZkuNpY0tlBy31ehaIaUBsyuVvtOKPBdT6FcJjhM 5m/0oWjhYNL2Y0yDGWrEgWqy5pJlbCT7Pow9w0gvoMT+tVzIwXJ4Cz7eL12X+8vk x6IfNAS0YWHlSF/ZzX3WviYy/77fD8qRaqZj4oy0HwjB4LECQQDiQvuyjJQDrNzy 2TQB20tSIBtZXz4AKlh23At6Emv+EeSiOT12/Juxn2gIDgCuPMiE6WUTr/0TKeDn djAzu1uDAkEA0oA5SL93UsHTeSDPe3l1A3KdfC7/38f1VCHS/+Ab2T+g0OpI2X5R dTZLo+pvkvyZhBhooyrsXO71vE9RfLVQDQJBAKORrQgNHMvzYd+mKjTVZgQ+9caM VfQkqMN0nE9pleyc3t5v5wFn6N5l0P1RsihEBOohGFM9PQVnlxF9nacoYSUCQAdR 7CwKdHTNRrRUnsJ1c8s95hoWbFF026QkVPkO6wj//HCnZQcjLGP+El1N3rlmzVPZ oXHjITsOGD+HJpdGmtUCQFcXAjw8bQekrSzL7R+f4RgpCfuy749B+Hg9QZc0R79t /d3dwHBm1fFFe6QEVI1ArL1I8uhlFCwDaZdfQhRz8Y4= -----END RSA PRIVATE KEY----- # 提取公钥 # -pubout 指定是公钥输出 [root@centos6-5 ~]# openssl rsa -in /root/mykey -out /root/mypub.key -pubout writing RSA key [root@centos6-5 ~]# cat /root/mypub.key -----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC6DEaXhrKwnB0JM7VvLFV1TxQm XFjEKIxoDUugBeCZ1mWt1FELpi7hiN2u3BGBwrbwKAZj8I55Z6pGSXEcKmMMTf1v bUopO9tUknV7nfIGjQeBzwqBhPK9+gj4xK/LvLr/FM8+WcxXW04FFNNW8WGz7uwU gKbW6XtsjMXbVLuVpwIDAQAB -----END PUBLIC KEY-----
至此,openssl 的基本介绍和使用全部完成。对于如何建立 CA 服务器,签名证书,会在下一篇博客中介绍到。
转载于:https://blog.51cto.com/guoting/1534974