linux私钥和用户证书是什么,Linux系统安全之CA证书的颁发

最新推荐文章于 2024-04-16 17:45:46 发布
最新推荐文章于 2024-04-16 17:45:46 发布
阅读量357 收藏
点赞数
文章标签: linux私钥和用户证书是什么

*********************************************

一、加密算法

二、Openssl 工具使用

三、建立本地CA

四、证书颁发

五、FTP客户端验证

*********************************************

理论讲解篇

一、加密算法

1、对称加密(移位与置换完成的)

对称加密算法简介

在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。

对称加密的特点:

加密速度快,对称性加密通常在消息发送方需要加密大量数据时使用。

常用的对称加密有:

DES: (Data Encryption Standard)   56位

DES3: 3遍DNS加密

AES (Advanced ): 128, 192, 256  高级加密标准

注意:

AES虽然位数增加了一倍,但是复杂度可不仅仅是一倍

2、 非对称加密(数学函数实现的)

非对称加密简介

非对称加密算法需要两个密钥:公工密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法

非对称加密的特点:

算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂,而使得加密解密速度没有对称加密解密的速度快

注意:

公钥是从私钥提取而来;

非对称加密工作原理:

私钥加密的数据 --> 与之配对的公钥解密(同时完成了身份验证)

私钥加密数据,只有与之配对的私钥可以机密,此时由于公钥是公开的,所以所有人都可以解密了,那么此种加密方法还有什么意义呢?由于公钥与私钥是一一对应的,所以当我们能解密的时候,是不是验证了加密方的身份,这就是数子签名

公钥加密的数据 --> 与之配对的私钥解密(保证了数据的机密性)

发送方使用对方的公钥加密,这样只有对方有自己私钥,这样对方就可以解密了,此时保证了数据的机密性

对称加密与非对称加密配合使用

当数据量较大的时候,我们使用非对称加密,虽然能保证数据的安全性但是加密速度太慢;此时我们可以提取数据的特征码,然后使用对方的公钥加密特征码,使用对称加密加密数据,对方收到特征码与数据之后,使用自己的私钥解密特征码,并使用与发送方相同的算法解密数据,再次提取特征码,与收到的特征码做比较。如果完全相同,则说明数据是完整的,否则异然。

3、单向加密算法

单向加密算法可以用与提取数据的特征码

常用的单向算法有

md5:128      sha1:160  sha256   sha512

雪崩效应:

输入数据的微小改变会引起输出结果的巨大变化;

理论知识说了这么多,是不是有点晕啊。不要紧的让我们实操一次,帮助你快速理解0818b9ca8b590ca3270a3433284dd417.png

操作应用篇

二、Openssl工具使用

查看openssl版本信息

[root@localhost ~]# openssl version

OpenSSL 1.0.0-fips 29 Mar 2010

使用Des3加密文件

[root@localhost tmp]# cp /etc/fstab ./

[root@localhost tmp]# openssl enc -des3 -in fstab -e -out fstab.des3

enter des-ede3-cbc encryption password: #输入加密密码此处为redhat

Verifying - enter des-ede3-cbc encryption password:

[root@localhost tmp]# ls

fstab fstab.des3

[root@localhost tmp]# cat fstab.des3 #查看加密之后文件显示乱码

Salted__?.?�.x?..>.?Cm酋nJ+?W5?.

.?陆a?╂.).b?j.??

?T?..??.,林.罂g(*奄E&}fTEp^苜?

g

.R??qxk.`h?0.?-rg.逢.?Fr.`XA

.L*?7.j?..?魂<?腩 ?t民B,?K?..?R.]?1?~T%L??Y詹q?慝?K缜.4.淝CG?沪9.??-

陪.仙.?哈'f?.??..?..gd. dS逛钓.e.. .?筵.?.r*?.L?祗?6?F锵??dǔ#冯M?/?;Xd.羝.熏J???.L??w?

攵0z?.nyo蜚鲲`写ia.Hbe?凿.?.?9..9骄..???

D?涛~?s.@.ё[=8{?. %UO`?<.t. i. tmp xshellxshellxshellxshellxshellxshellxshell>

-bash: XshellXshellXshellXshellXshellXshellXshell: command not found

[root@localhost tmp]#

注释:

-des3指定加密算法

-e 代表加密 与之对应的-d代表解密

-in 指定加密文件

-out 指定输入文件

获取文件特征码

[root@localhost tmp]# openssl dgst -md5 fstab

MD5(fstab)= c9f4e510c6ee08857b2fee224fdbfdcd

[root@localhost tmp]#

修改fastab文件,在此查看特征码

[root@localhost tmp]# echo "123" >> fstab

[root@localhost tmp]# openssl dgst -md5 fstab #此时有巨大变化,是不是验证了雪崩效益

MD5(fstab)= 739fac6132b9d7178f898cb004457250

生成随机数

[root@localhost tmp]# openssl rand -hex 4 #生成8位随机数

034a06cc

[root@localhost tmp]# openssl rand -base64 4

T1+z2g==

[root@localhost tmp]#

生成私钥

[root@localhost tmp]# openssl genrsa 2048 > mykey.pri #生成2048位的私钥并保存为mykey.pri

Generating RSA private key, 2048 bit long modulus

...........................................+++

.........................+++

e is 65537 (0x10001)

[root@localhost tmp]# ll

总用量 12

-rw-r--r--. 1 root root 783 8月 15 18:42 fstab

-rw-r--r--. 1 root root 800 8月 15 18:28 fstab.des3

-rw-r--r--. 1 root root 1679 8月 15 19:12 mykey.pri

[root@localhost tmp]#

为了保证私钥的安全性,我们修改私钥的权限为700,在创建私钥的时候指定权限

[root@localhost tmp]# (umask 077; openssl genrsa -out mykey2.pri 1024)

Generating RSA private key, 1024 bit long modulus

......++++++

.......................................++++++

e is 65537 (0x10001)

[root@localhost tmp]# ll

总用量 16

-rw-r--r--. 1 root root 783 8月 15 18:42 fstab

-rw-r--r--. 1 root root 800 8月 15 18:28 fstab.des3

-rw-------. 1 root root 887 8月 15 19:19 mykey2.pri #权限700

-rw-r--r--. 1 root root 1679 8月 15 19:12 mykey.pri

[root@localhost tmp]#

通过私钥生成公钥

[root@localhost tmp]# openssl rsa -in mykey2.pri -pubout

writing RSA key

-----BEGIN PUBLIC KEY-----

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDRvjEY+fKwIDny+g5ukY3RUd0S

0UlnS4Df3U5//T9xRYdRZizE/HlFKbGXzxtyGkuahkrVPDV9TVmaLnXsCl95smQc

w9Qv9K25KdH3ac/wIUfjwJG7qfdjZ/HR5RKXCCO+GejJ+0rQYwhgBVCzuN6Vokn/

XXcCP5I/CTgP8cFAZQIDAQAB

-----END PUBLIC KEY-----

此处说明了公钥是通过私钥生成的。。

三、自建立本地CA(证书颁发)

生成CA自己的私钥

[root@localhost ~]# cd /etc/pki/tls/

[root@localhost tls]# ls

cert.pem certs misc openssl.cnf private #openssl.cnf为主配置文件

[root@localhost tls]# cd ../CA/

[root@localhost CA]# ls

cacert.pem certs crl index.txt index.txt.attr index.txt.old newcerts private serial serial.old

[root@localhost CA]# (umask 077; openssl genrsa -out private/cakey.pem 2048)

Generating RSA private key, 2048 bit long modulus

......................................................................+++

..+++

e is 65537 (0x10001)

[root@localhost CA]#

为CA生成自签证书

0818b9ca8b590ca3270a3433284dd417.png

建立序列号文件和数据库文件

[root@localhost CA]# touch serial index.txt

[root@localhost CA]# echo 01 > serial

[root@localhost CA]#

至此CA创建完成,我们就可以为客户端颁发证书了

四、证书颁发

客户端(ftp)提交证书申请(IP:172.16.10.2)

生成私钥

[root@stu10 ~]# (umask 077; openssl genrsa -out vstpd.key 2048)

Generating RSA private key, 2048 bit long modulus

....+++

...+++

e is 65537 (0x10001)

[root@stu10 ~]# ls

制作一个证书签署请求:

0818b9ca8b590ca3270a3433284dd417.png

将签署请求文件copy到CA服务器上,CA签署(使用scp命令)

[root@stu10 ~]# openssl ca -in vsftpd.csr -out vstpd.crt -days 365

Using configuration from /etc/pki/tls/openssl.cnf

Check that the request matches the signature

Signature ok

Certificate Details:

Serial Number: 1 (0x1)

Validity

Not Before: Aug 15 06:01:00 2013 GMT

Not After : Aug 15 06:01:00 2014 GMT

Subject:

countryName = CN

stateOrProvinceName = Beijing

organizationName = xiaodong

organizationalUnitName = Tech

commonName = 172.16.10.1

X509v3 extensions:

X509v3 Basic Constraints:

CA:FALSE

Netscape Comment:

OpenSSL Generated Certificate

X509v3 Subject Key Identifier:

CA:39:D6:37:3B:E0:EF:70:6A:01:0B:DF:A1:2A:DC:7D:54:1E:0D:D7

X509v3 Authority Key Identifier:

keyid:33:1F:53:F8:CB:40:03:E2:DB:38:FF:6A:40:08:68:D9:91:25:89:BA

Certificate is to be certified until Aug 15 06:01:00 2014 GMT (365 days)

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated

[root@stu10 ~]#

到此证书签署完成!!!

五、FTP客户端验证

IP:172.16.10.2 为vsftp服务器

[root@stu10 ~]# vim /etc/vsftpd/vsftpd.conf  #vsftpd配置

ssl_enable=YES #是否启用SSL

ssl_tlsv1=YES #是否使用TLS v1

ssl_sslv2=YES #是否使用SSl v2

ssl_sslv3=YES #是否使用SSL v3

allow_anon_ssl=NO #是否允许匿名用户使用SSL

force_local_data_ssl=YES #百匿名用户传输数据是否加密

force_local_logins_ssl=YES #非匿名用户登录时是否加密

rsa_cert_file/root/vstpd.crt #rsa证书文件位置

rsa_private_key_file=/root/vstpd.key #ftp私钥文件位置

[root@localhost ~]# service vsftpd restart #重启Ftp服务器

此时使用客户端验证证书是否生效

0818b9ca8b590ca3270a3433284dd417.png

本博文至此总结结束,由于多数内容都是个人理解,有不足之处,望广大博友多提宝贵意见。。。。。

来B
关注
LINUX 用户认证
LYJ_man的博客
05-24 591
问题 沿用练习一,通过调整Nginx服务端配置,实现以下目标: 1.访问Web页面需要进行用户认证 2.用户名为:tom,密码为:123456 2.2 方案 模板配置文件框架如下: 1.[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf 2.全局配置(用户名,日志,进程) 3.http{ 4. server{ 5. lis...
OpenSSL 生成CA证书及终端用户证书,java架构师常见面试题
m0_64205676的博客
11-16 814
OpenSSL 1.0.2k FireFox 60.0 64位 Chrome 66.0.3359.181 (正式版本)(32位) Internet Explorer 11.2248.14393.0 Websocketd 0.3.0 Nginx 1.12.2 二、生成CA证书 1、准备ca配置文件,得到ca.conf $ vim ca.conf 内容如下: [ req ] default_bits = 4096 distinguished_name = req_d...
Linux添加证书用户
01-13
Linux添加证书用户.zip
Linux 证书登录
闪光小龙虾
01-28 942
1: 密码连接创建  ~ /.ssh 文件  权限 700 2: 生成    (1):    (2)  (3) :  (4): (5) (6) (7) (8) (9)改名字为authorized_keys 并上传到 ~/ssh 目录下 权限 600 3:设置 是否可以用密码登录 vim /etc/ssh/sshd_config 修改 Passw...
OpenSSL 生成CA证书及终端用户证书(1)
2401_84048445的博客
04-16 391
对比我的面经和其他大佬的面经,自己真的是运气好。所以对我而言,我要继续加倍努力,弥补自己技术上的不足,以及与科班大佬们基础上的差距。因为在阿里一面前已经过了字节的三次面试,投阿里的简历一直没被捞,所以以为简历就挂了。把生成好的server.crt和server.key文件放在与 nginx.conf 同级目录下,然后启动nginx。分享我在这次面试前所做的准备(刷题复习资料以及一些大佬们的学习笔记和学习路线),都已经整理成了电子文档。
基于openssl的CA证书服务器 你可以用它搭建自己的专属CA服务器,以方便为用户生成私钥证书请求、颁发证书、吊销证书证书
01-06
你可以用它搭建自己的专属CA服务器,以方便为用户生成私钥证书请求、颁发证书、吊销证书证书续期、证书吊销列表等。它可以生成多种类型的证书,包括且不限于web服务器、代码、计算机、客户端、信任列表、时间戳...
基于Windows 2000 CALinux ready PK卡的证书申请.pdf
09-07
智能卡用于存储私钥和电子证书,让用户对自己的安全信息拥有最大的控制权,可以在不同机器间轻松转移并使用。特别是在需要高安全性的场景下,智能卡通常会配合个人密码(PIN)保护,甚至可以使用生物信息如指纹作为...
Rockey Linux下OpenSSL制作自签名CA证书应用
最新发布
07-13
### Rocky Linux下OpenSSL制作自签名CA证书应用 在当今高度数字化的世界中,网络安全变得尤为重要。...然而,在生产环境中,考虑到证书的信任问题,建议使用权威CA机构颁发证书以确保系统的安全性和可信度。
Linux中架设CA证书中心.pdf
09-06
本文主要讲述在Linux系统中架设CA证书中心的方法和步骤。CA证书中心是身份识别和通讯安全的重要组件,它可以提供数字证书来解决身份识别问题。在Windows中创建CA服务器非常常见,但是在Linux中,创建CA证书中心却...
linux系统openssl 实现ssl自签证书
12-02
在IT领域,尤其是在网络安全和服务器配置中,SSL(Secure Socket Layer)和TLS(Transport Layer Security)证书是确保数据传输安全的重要工具。它们主要用于HTTPS协议,为网站提供加密连接,保护用户的隐私信息。当...
用户证书与服务器证书的区别,多域型证书与多服务器部属证书的区别
weixin_42306054的博客
07-29 427
对于网络安全越发得到重视的现在,SSL证书也成为了网站必备的条件之一。那么面对这么多种类的SSL证书,站长们该如何选择呢?这里针对多域型证书以及多服务器部署证书的区别来帮助站长们选择更加适合自己网站需求的SSL证书。多域型证书(Wildcard SSL)多域型SSL证书也叫通配型,顾名思义就是能够支持多个域名的SSL证书,可以保护一个域名以及所有的一级子域名。即:*.example.com的域名,...
用户证书问题
__tian__的博客
06-30 1218
用户证书目录/data/misc/user/0/cacerts-added、Android7后,系统只信任系统证书,需要把用户证书移动到系统证书目录。系统证书路径/etc/security/cacerts。使用MagiskCertificates模块来移动证书
openssl 用根证书验证一个用户证书
求索
01-13 6379
#include #include #include using namespace std; #define USER_CERT "用户证书路径"                // 这里保存的是pem格式证书 #define CA_CERT "根证书路径" int main() {  SSLeay_add_all_algorithms();  X509_STORE_
证书签发openssl
hmh1985
09-15 268
基于 OpenSSL 的 CA 建立及证书签发 默认分类 2008-01-16 23:26:13 阅读4075 评论0   字号:大 中 小   订阅 版权所有,如需转载...
Fiddler安装证书常见问题(用户证书转系统证书
JIXI4615的博客
06-05 3225
fiddler如何安装证书在此bu'zuo 1.证书安装完成后异常,APP不是闪退就是断网,是因为部分软件不信任用户证书,此时需要把用户证书转成
信任用户证书(CA),实现Android7及以上HTTPS抓包
一碗单炒饭的专栏
09-18 8837
信任用户CA,实现Android7及以上HTTPS抓包 Android7以后,系统不再信任用户级的证书,只信任系统级的证书,所以我们要让APP信任用户自己的证书。 注:需要源码,或者反编译 没有源码的看这里: 给Android7及以上的手机安装系统级证书,实现Fiddler或者其他程序的HTTPS的抓包 目录信任用户CA,实现Android7及以上HTTPS抓包准备用户证书授权1. 网络安全配置2. 信任用户CA3. 配置仅于调试的CA参考 准备 APP源码 手机 用户证书授权 1. 网络安全配置
Android10导入系统证书的方法。
fjh1997的博客
06-15 2万+
由于安卓10采用了某些安全策略,将系统分区/system挂载为只读,就算你root了也没用,无法写入系统分区也就无法导入系统证书,在使用http-canary这样的软件抓包分析的时候,很多app只认系统证书,不认用户证书。唯一的方法是魔改安卓10的rom,或者使用magisk的一些模块,这里介绍的模块是magisk的Move Certificates模块。 安装完模块之后,用户分区的所有证书默认会导入到系统分区。 ...
SSL中,公钥、私钥证书(pem、crt、cer、key、csr)的后缀名都是些啥?
热门推荐
HD243608836的博客
10-21 2万+
今天做这么一个事,centos服务器,tomcat8+nginx1.6,现在要在上面运行cas4.0。所以需要配ssl,然后找教程,了解到,需要把tomcat和nginx的ssl都配置好。到这里就晕了,tomcat配ssl需要一个.keystore文件,nginx则需要配一个.crt和一个.key的文件。按照教程使用keytool生成了.keystore文件,然后我需要通过.keystore导出一个.crt文件,但是找了好多教程只是导出.cer文件。
Linux_CA三种申请证书的方法
Jakobus的博客
03-16 3715
第一种: 申请私钥 [root@cs1 ~]# openssl genrsa -out ca.key 4096 Generating RSA private key, 4096 bit long modulus (2 primes) ...............................................................++++ ...................................................................
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值