openssl基本原理 + 生成证书 + 使用实例

最新推荐文章于 2022-07-27 16:25:51 发布
最新推荐文章于 2022-07-27 16:25:51 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: Network网络技术 算法&数据结构

1. 基本原理

参考:

http://www.cnblogs.com/phpinfo/archive/2013/08/09/3246376.html

http://blog.csdn.net/oldmtn/article/details/52208747

公司一个项目要进行交易数据传输,因为这个项目银行那边也是刚刚开始启动,所有的支持只有一个传输字段的说明文档,好吧,总的有人做事不是嘛,于是接口开发正式展开,第一步的难点就是加密解密,我选择使用OpenSSL.

OpenSSL初接触的人恐怕最难的在于先理解各种概念

  公钥/私钥/签名/验证签名/加密/解密/非对称加密

  我们一般的加密是用一个密码加密文件,然后解密也用同样的密码.这很好理解,这个是对称加密.而有些加密时,加密用的一个密码,而解密用另外一组密码,这个叫非对称加密,意思就是加密解密的密码不一样.初次接触的人恐怕无论如何都理解不了.其实这是数学上的一个素数积求因子的原理的应用,如果你一定要搞懂,百度有大把大把的资料可以看,其结果就是用这一组密钥中的一个来加密数据,可以用另一个解开.是的没错,公钥和私钥都可以用来加密数据,相反用另一个解开,公钥加密数据,然后私钥解密的情况被称为加密解密,私钥加密数据,公钥解密一般被称为签名和验证签名.

  因为公钥加密的数据只有它相对应的私钥可以解开,所以你可以把公钥给人和人,让他加密他想要传送给你的数据,这个数据只有到了有私钥的你这里,才可以解开成有用的数据,其他人就是得到了,也看懂内容.同理,如果你用你的私钥对数据进行签名,那这个数据就只有配对的公钥可以解开,有这个私钥的只有你,所以如果配对的公钥解开了数据,就说明这数据是你发的,相反,则不是.这个被称为签名.

  实际应用中,一般都是和对方交换公钥,然后你要发给对方的数据,用他的公钥加密,他得到后用他的私钥解密,他要发给你的数据,用你的公钥加密,你得到后用你的私钥解密,这样最大程度保证了安全性.

  RSA/DSA/SHA/MD5

  非对称加密的算法有很多,比较著名的有RSA/DSA ,不同的是RSA可以用于加/解密,也可以用于签名验签,DSA则只能用于签名.至于SHA则是一种和md5相同的算法,它不是用于加密解密或者签名的,它被称为摘要算法.就是通过一种算法,依据数据内容生成一种固定长度的摘要,这串摘要值与原数据存在对应关系,就是原数据会生成这个摘要,但是,这个摘要是不能还原成原数据的,嗯....,正常情况下是这样的,这个算法起的作用就是,如果你把原数据修改一点点,那么生成的摘要都会不同,传输过程中把原数据给你再给你一个摘要,你把得到的原数据同样做一次摘要算法,与给你的摘要相比较就可以知道这个数据有没有在传输过程中被修改了.

  实际应用过程中,因为需要加密的数据可能会很大,进行加密费时费力,所以一般都会把原数据先进行摘要,然后对这个摘要值进行加密,将原数据的明文和加密后的摘要值一起传给你.这样你解开加密后的摘要值,再和你得到的数据进行的摘要值对应一下就可以知道数据有没有被修改了,而且,因为私钥只有你有,只有你能解密摘要值,所以别人就算把原数据做了修改,然后生成一个假的摘要给你也是不行的,你这边用密钥也根本解不开.

   CA/PEM/DER/X509/PKCS

  一般的公钥不会用明文传输给别人的,正常情况下都会生成一个文件,这个文件就是公钥文件,然后这个文件可以交给其他人用于加密,但是传输过程中如果有人恶意破坏,将你的公钥换成了他的公钥,然后得到公钥的一方加密数据,不是他就可以用他自己的密钥解密看到数据了吗,为了解决这个问题,需要一个公证方来做这个事,任何人都可以找它来确认公钥是谁发的.这就是CA,CA确认公钥的原理也很简单,它将它自己的公钥发布给所有人,然后一个想要发布自己公钥的人可以将自己的公钥和一些身份信息发给CA,CA用自己的密钥进行加密,这里也可以称为签名.然后这个包含了你的公钥和你的信息的文件就可以称为证书文件了.这样一来所有得到一些公钥文件的人,通过CA的公钥解密了文件,如果正常解密那么机密后里面的信息一定是真的,因为加密方只可能是CA,其他人没它的密钥啊.这样你解开公钥文件,看看里面的信息就知道这个是不是那个你需要用来加密的公钥了.

  实际应用中,一般人都不会找CA去签名,因为那是收钱的,所以可以自己做一个自签名的证书文件,就是自己生成一对密钥,然后再用自己生成的另外一对密钥对这对密钥进行签名,这个只用于真正需要签名证书的人,普通的加密解密数据,直接用公钥和私钥来做就可以了.

  密钥文件的格式用OpenSSL生成的就只有PEM和DER两种格式,PEM的是将密钥用base64编码表示出来的,直接打开你能看到一串的英文字母,DER格式是二进制的密钥文件,直接打开,你可以看到........你什么也看不懂!.X509是通用的证书文件格式定义.pkcs的一系列标准是指定的存放密钥的文件标准,你只要知道PEM DER X509 PKCS这几种格式是可以互相转化的.

== End http://www.cnblogs.com/phpinfo/archive/2013/08/09/3246376.html ==

为了方便理解,我画了一个图,如下:



2. 生成证书

参考:http://zctya.blog.163.com/blog/static/1209178201251310292958/

一:生成CA证书 
目前不使用第三方权威机构的CA来认证,自己充当CA的角色。  
网上下载一个openssl软件 
1.创建私钥 : 
C:\OpenSSL\bin>openssl genrsa -out ca/ca-key.pem 1024  
2.创建证书请求 : 
C:\OpenSSL\bin>openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem  
----- 
Country Name (2 letter code) [AU]:cn 
State or Province Name (full name) [Some-State]:zhejiang 
Locality Name (eg, city) []:hangzhou 
Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision 
Organizational Unit Name (eg, section) []:test 
Common Name (eg, YOUR name) []:root 
Email Address []:sky 
3.自签署证书 : 
C:\OpenSSL\bin>openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650 
4.将证书导出成浏览器支持的.p12格式 : 
C:\OpenSSL\bin>openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12  
密码:changeit       
二.生成server证书。  
1.创建私钥 : 
C:\OpenSSL\bin>openssl genrsa -out server/server-key.pem 1024  
2.创建证书请求 : 
C:\OpenSSL\bin>openssl req -new -out server/server-req.csr -key server/server-key.pem  
----- 
Country Name (2 letter code) [AU]:cn 
State or Province Name (full name) [Some-State]:zhejiang 
Locality Name (eg, city) []:hangzhou 
Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision 
Organizational Unit Name (eg, section) []:test 
Common Name (eg, YOUR name) []:192.168.1.246   注释:一定要写服务器所在的ip地址 
Email Address []:sky 
3.自签署证书 : 
C:\OpenSSL\bin>openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650  
4.将证书导出成浏览器支持的.p12格式 : 
C:\OpenSSL\bin>openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12  
密码:changeit 
三.生成client证书。  
1.创建私钥 : 
C:\OpenSSL\bin>openssl genrsa -out client/client-key.pem 1024  
2.创建证书请求 : 
C:\OpenSSL\bin>openssl req -new -out client/client-req.csr -key client/client-key.pem 
----- 
Country Name (2 letter code) [AU]:cn 
State or Province Name (full name) [Some-State]:zhejiang 
Locality Name (eg, city) []:hangzhou 
Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision 
Organizational Unit Name (eg, section) []:test 
Common Name (eg, YOUR name) []:sky 
Email Address []:sky      注释:就是登入中心的用户(本来用户名应该是Common Name,但是中山公安的不知道为什么使用的Email Address,其他版本没有测试) 
Please enter the following 'extra' attributes 
to be sent with your certificate request 
A challenge password []:123456 
An optional company name []:tsing  
3.自签署证书 : 
C:\OpenSSL\bin>openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650  
4.将证书导出成浏览器支持的.p12格式 : 
C:\OpenSSL\bin>openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12  
密码:changeit 

== End 参考==
请一定严格根据里面的步骤来,待实验成功后,修改你自己想要修改的内容。我就是一开始没有安装该填写的来,结果生成的证书就无法配对成功。

3. C++实战例子

参考:http://hoytluo.blog.51cto.com/1154435/564822/

== Begin 参考==

近来研究如何使用openssl进行编程,下面是一些概要。

1.使用相同的ca生成两个证书,一个是server.cer,一个是client.cer,注意生成server.cer的时候必须指明证书可以用于服务端的。

[cpp] view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1.   
  2. void EXIT_IF_TRUE(bool x)  
  3. {  
  4.     if (x) {  
  5.         exit(2);  
  6.     }  
  7. }  
  8. // 服务端代码  
  9. int Test_openssl_server_v2()  
  10. {  
  11.     OM_NetworkInit();  
  12.   
  13.     SSL_CTX     *ctx;  
  14.     SSL         *ssl;  
  15.     X509        *client_cert;  
  16.   
  17.     char szBuffer[1024];  
  18.     int nLen;  
  19.   
  20.     struct sockaddr_in addr;  
  21.     int len;  
  22.     int nListenFd, nAcceptFd;  
  23.   
  24.     // 初始化  
  25.     SSLeay_add_ssl_algorithms();  
  26.     OpenSSL_add_all_algorithms();  
  27.     SSL_load_error_strings();  
  28.     ERR_load_BIO_strings();  
  29.   
  30.     // 我们使用SSL V3,V2  
  31.     EXIT_IF_TRUE((ctx = SSL_CTX_new(SSLv23_method())) == NULL);  
  32.   
  33.     // 要求校验对方证书  
  34.     SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);  
  35.   
  36.     // 加载CA的证书  
  37.     EXIT_IF_TRUE(!SSL_CTX_load_verify_locations(ctx, "cacert.cer", NULL));  
  38.   
  39.     // 加载自己的证书  
  40.     EXIT_IF_TRUE(SSL_CTX_use_certificate_file(ctx, "server.cer", SSL_FILETYPE_PEM) <= 0);  
  41.   
  42.     // 加载自己的私钥    
  43.     EXIT_IF_TRUE(SSL_CTX_use_PrivateKey_file(ctx, "server.key", SSL_FILETYPE_PEM) <= 0);  
  44.   
  45.     // 判定私钥是否正确    
  46.     EXIT_IF_TRUE(!SSL_CTX_check_private_key(ctx));  
  47.   
  48.     // 创建并等待连接  
  49.     nListenFd = socket(PF_INET, SOCK_STREAM, 0);  
  50.     struct sockaddr_in my_addr;  
  51.     memset(&my_addr, 0, sizeof(my_addr));  
  52.     my_addr.sin_family = PF_INET;  
  53.     my_addr.sin_port = htons(8812);  
  54.     my_addr.sin_addr.s_addr = inet_addr("127.0.0.1");//  INADDR_ANY;  
  55.     if (bind(nListenFd, (struct sockaddr *)&my_addr, sizeof(struct sockaddr)) == -1) {  
  56.         int a = 2;  
  57.         int b = a;  
  58.     }  
  59.       
  60.     //  
  61.     listen(nListenFd, 10);  
  62.   
  63.     memset(&addr, 0, sizeof(addr));  
  64.     len = sizeof(addr);  
  65.     nAcceptFd = accept(nListenFd, (struct sockaddr *)&addr, (int *)&len);  
  66.     CPosaLog::Printf(CPosaLog::L_DEBUG, "Accept a connect from [%s:%d]\n",  
  67.         inet_ntoa(addr.sin_addr), ntohs(addr.sin_port));  
  68.   
  69.     // 将连接付给SSL    
  70.     EXIT_IF_TRUE((ssl = SSL_new(ctx)) == NULL);  
  71.     SSL_set_fd(ssl, nAcceptFd);  
  72.     int n1 = SSL_accept(ssl);  
  73.     if (n1 == -1) {  
  74.         const char* p1 = SSL_state_string_long(ssl);  
  75.         int a = 2;  
  76.         int b = a;  
  77.     }  
  78.     // 进行操作    
  79.     memset(szBuffer, 0, sizeof(szBuffer));  
  80.     nLen = SSL_read(ssl, szBuffer, sizeof(szBuffer));  
  81.     CPosaLog::Printf(CPosaLog::L_DEBUG, "Get Len %d %s ok\n", nLen, szBuffer);  
  82.   
  83.     strcat(szBuffer, " this is from server");  
  84.     SSL_write(ssl, szBuffer, strlen(szBuffer));  
  85.   
  86.     // 释放资源    
  87.     SSL_free(ssl);  
  88.     SSL_CTX_free(ctx);  
  89.     closesocket(nAcceptFd);  
  90.   
  91.     return 0;  
  92. }  
  93. // 客户端代码  
  94. int Test_openssl_client_v2()  
  95. {  
  96.     OM_NetworkInit();  
  97.   
  98.     SSL_METHOD  *meth;  
  99.     SSL_CTX     *ctx;  
  100.     SSL         *ssl;  
  101.   
  102.     int nFd;  
  103.     int nLen;  
  104.     char szBuffer[1024];  
  105.   
  106.     // 初始化  
  107.     SSLeay_add_ssl_algorithms();  
  108.     OpenSSL_add_all_algorithms();  
  109.     SSL_load_error_strings();  
  110.     ERR_load_BIO_strings();  
  111.   
  112.     // 我们使用SSL V3,V2  
  113.     EXIT_IF_TRUE((ctx = SSL_CTX_new(SSLv23_method())) == NULL);  
  114.   
  115.     // 要求校验对方证书  
  116.     SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);  
  117.   
  118.     // 加载CA的证书  
  119.     EXIT_IF_TRUE(!SSL_CTX_load_verify_locations(ctx, "cacert.cer", NULL));  
  120.   
  121.     // 加载自己的证书  
  122.     EXIT_IF_TRUE(SSL_CTX_use_certificate_file(ctx, "client.cer", SSL_FILETYPE_PEM) <= 0);  
  123.   
  124.     // 加载自己的私钥  
  125.     EXIT_IF_TRUE(SSL_CTX_use_PrivateKey_file(ctx, "client.key", SSL_FILETYPE_PEM) <= 0);  
  126.   
  127.     // 判定私钥是否正确  
  128.     EXIT_IF_TRUE(!SSL_CTX_check_private_key(ctx));  
  129.   
  130.     // new  
  131.     // 创建连接  
  132.     nFd = socket(PF_INET, SOCK_STREAM, 0);  
  133.     struct sockaddr_in dest;  
  134.     memset(&dest, 0, sizeof(dest));  
  135.     dest.sin_family = AF_INET;  
  136.     dest.sin_port = htons(8812);  
  137.     dest.sin_addr.s_addr = inet_addr("127.0.0.1");  
  138.     if (connect(nFd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {  
  139.         perror("Connect ");  
  140.         exit(errno);  
  141.     }  
  142.   
  143.     // 将连接付给SSL  
  144.     EXIT_IF_TRUE((ssl = SSL_new(ctx)) == NULL);  
  145.     SSL_set_fd(ssl, nFd);  
  146.     int n1 = SSL_connect(ssl);  
  147.     if (n1 == -1) {  
  148.         int n2 = SSL_get_error(ssl, n1);  
  149.   
  150.         const char* p1 = SSL_state_string(ssl);  
  151.     }  
  152.   
  153.     // 进行操作  
  154.     sprintf(szBuffer, "this is from client %d", getpid());  
  155.     int nWriten = SSL_write(ssl, szBuffer, strlen(szBuffer));  
  156.   
  157.     // 释放资源  
  158.     memset(szBuffer, 0, sizeof(szBuffer));  
  159.     nLen = SSL_read(ssl, szBuffer, sizeof(szBuffer));  
  160.     CPosaLog::Printf(CPosaLog::L_DEBUG, "Get Len %d %s ok\n", nLen, szBuffer);  
  161.   
  162.     SSL_free(ssl);  
  163.     SSL_CTX_free(ctx);  
  164.     closesocket(nFd);  
  165.   
  166.     return 0;  
  167. }  

==End 参考==
PS: 我将原link里面的代码改成我修改过后的了。

经过上面3个步骤,基本上可以算是了解了ssl原理以及openssl的使用了。

哈哈啊。。喔哈哈哈。

http://blog.csdn.net/oldmtn/article/details/52208747
zhuxp1
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OPenssl生成证书
07-03
生成CA.crt等web服务器的加密证书等,方法很详细,适合做实验用。
mTLS: openssl创建CA证书
最新发布
Mr_rain的专栏
03-02 1202
证书可以通过openssl或者keytool创建,在本篇文章中,只介绍openssl
使用OpenSSL生成证书
weixin_30243533的博客
06-25 198
国内私募机构九鼎控股打造APP,来就送20元现金领取地址:http://jdb.jiudingcapital.com/phone.html 内部邀请码:C8E245J(不写邀请码,没有现金送) 国内私募机构九鼎控股打造,九鼎投资是在全国股份转让系统挂牌的公众公司,股票代码为430719,为“中国PE第一股”,市值超1000亿元。 ----------------------------...
使用 openssl 生成证书
Ryan
09-20 243
https://www.cnblogs.com/littleatp/p/5878763.html
使用OPENSSL生成证书
讯达网络科技的博客
04-27 644
使用OPENSSL生成证书
java + keytool+openssl 实现批量生成客户端证书
06-07
使用Java实现根据ca购买到的根证书 批量生产客户端需要的.bks和.cer文件,从而实现双向认证
使用openssl 生成免费证书的方法步骤
01-10
即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。...
使用OpenSSL生成Kubernetes证书的介绍
01-10
测试版本为1.10,但不限于此版本,为openssl证书较为通用的方式。 所需证书 所需要的证书相关文件的说明如下: CA证书 CA证书私钥 命令:openssl genrsa -out ca.key 2048 [root@host121 k8scert]# openssl ...
openssl_gmssl命令生成证书.txt
01-21
包含OpenSSL和GMSSL生成证书命令,RSA证书和SM2证书生成方式
使用 openssl生成证书
weixin_40857858的博客
12-27 273
使用 openssl生成证书 步骤一:先要确认当前系统是否有安装openssl 1 openssl version 步骤二:使用下面的命令进行生成 1 mkdir /root/cert 2 cd /root/cert 3 openssl genrsa -des3 -out server.key 1024 4 openssl req -new -key server.key -out server.csr 5 cp server.key server.key.org 6 openssl rsa -in ser
openssl生成证书
12-27
使用openssl生成证书,有详细的步骤说明,亲测可用。还有一些关于证书的一些常用转换操作介绍
openssl 生成 证书
11-23
打包的一个openssl包,自己编写的一个openssl 的批处理,填写基本信息就能生成key,免去了自己繁琐的输入命令。(openssl基于apache2.2.21提取) 如果配置来使用svn的话可以参考:http://blog.csdn.net/nicaiwa/article/details/6932472
使用openssl生成自签名证书
06-13
使用openssl生成IIS可用的SHA-256自签名证书 超详细步骤!
通过openSSL生成证书
LordForce的博客
07-27 1190
通过openSSL命令生成证书
使用 openssl 生成证书(含openssl详解)
热门推荐
萧海的博客
06-04 1万+
一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。 官网:https://www.openssl.org/source/ 构成部分: 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立 X.509 证书证书签名请求(CSR)和CRLs(证书回收列表) 计算消息摘要 使用各种 Cipher加密/解密 SSL/TLS 客户端以及服务器
使用openssl PKCS#8 生成证书
06-01
但是,如果您正在使用自签名证书,或者您是 CA,那么您需要使用 CSR 和您的私钥来生成证书。要生成证书,请使用以下命令: ``` openssl x509 -req -in certificate_request.csr -signkey private_key.pem -out ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值