資料加密解密及openssl建立CA
資料的安全性:
保密性:C
資料保密性
隱私性
完整性:I
資料完整性
系統完整性
可用性A
可被授權實體訪問並按需求是有的特性
NTST (national institute of standards and technology)美國國家標準與技術研究院所制定的網路資訊安 全性和保密性。簡稱CIA。當然CIA保證了網路資訊保安和保密,但是另外兩條標準也是不可忽視的。
真實性 確保資料傳送發是真正的傳送方
可追溯性 受到***,能追溯***者原位置
OSI組織定義的電腦保安通訊框架:x 800
安全***
被動***;竊聽
主動***:偽裝“冒名頂替”;重播 ;訊息修改;拒絕服務
安全機制:
加密、數字簽名、訪問控制、資料完整性、認證交換、流量填充、路由控制、公證
安全服務:
認證
訪問控制
資料保密性:
連線保密性
無連線保密性
選擇域保密性
流量保密性
資料完整性
資料傳輸沒有被非授權的修改,插入,刪除,重播
不可否認性:身份認證
加密型別:
一、對稱加密:加密解密使用同一金鑰。
對稱加密演算法
DES:56位
3DES:
AES:高階加密標準
特性:
1、加密,解密使用同一口令;
2、將明文分隔成固定大小的塊,逐個進行加密
缺陷:
1、金鑰過多;
2、金鑰傳輸;
3、分發困難
金鑰交換、身份驗證、資料完整性無法得到保證。
二、公鑰加密:加密和解密使用一對金鑰
public key公鑰;secret key私鑰
公鑰一般用於:
實現身份認證
金鑰交換
常用加密演算法:RSA,DSA,EIGamal
三、單向加密:
定長輸出
不可逆:(解密)
雪崩效應(蝴蝶效應)
常用加密演算法:MD5、sha1
PKI:公鑰基礎設施
簽證機構:CA
註冊機構:RA
證書吊銷列表:CRL
證書存取庫:
申請CA流程:存取庫-->RA-->CA-->CRL
CA:證書包含內容
證書版本號
證書序列號: 記錄當前CA發行了多少證書
證書演算法引數;
發行者的名稱:
證書有效期限
證書擁有者的主體名稱 (‘使用者’名字 或者‘主機名’)
公鑰資訊: (自己填寫 名字等相關資訊)
發行者的id: CA的編號
主體的編號--id
CA的簽名: 來源合法性
加密解密簡圖:
當接收者接到報文,使用自己的私鑰進行解密,其次使用對稱金鑰解密,獲得加密的報文和特徵碼;再次使用傳送者的公鑰進行解密,提取原報文。
Openssl建立私有CA
一、建立CA伺服器:
1、生成金鑰:
#cd/etc/pki/CA
#(umask077;opensslgenrsa-out/etc/pki/CA/private/cakey.pem2048)
2、自簽證書:使用
#opensslreq-new-x509-key/etc/pki/CA/private/cakey.pem-out/etc/pki/CA/cacert.pem-days300
3、初始化工作環境
#touch/etc/pki/CA/{index.txt,serial}
#echo01>/etc/pki/CA/serialCA編號從01開始以此類推
二、節點申請證書:
節點生成請求
1、生成金鑰對兒
#(umask077;opensslgenrsa-out/etc/httpd/ssl/httpd.key2048)
2、生成證書籤署請求
#opensslreq-new-key/etc/httpd/ssl/httpd.key-out/etc/httpd/ssl/httpd.csr
3、把簽署請求檔案傳送給CA服務
#scp/etc/pki/CA/httpd.crt172.16.244.22:/etc/httpd/ssl
收到節點請求CA驗證證書中的信心是否符合,
如果符合CA將簽署證書使用:#opensslca-in/path/to/somefile.csr-out/path/to/somefile.crt-days200。
在將簽署證書傳送給申請者:
#Scp/etc/pki/CA/httpd.crt172.16.249.100:/etc/https/ssl/
轉載於:https://blog.51cto.com/hhxxb/1534370