2. 程式人生 > >openssl的應用及創建CA

openssl的應用及創建CA

阿新 發佈:2018-04-05
網絡運維

openssl命令行工具:
眾多的子命令實現各種安全加密功能;

]# openssl ?

顯示的內容有
Standard commands(標準命令)
enc, dgst, ca, req, genrsa, rand, rsa, x509, passwd, ...
Message Digest commands
...
Cipher commands
...

接下來是一些openssl標準命令的使用:

使用enc命令加密(對稱加密)
格式:
openssl enc -ciphername [-in filename] [-out filename] [-e] [-d] [-a/-base64] [-salt]
-ciphername:加密算法的名稱
-in filename:openssl要讀取的文件路徑;
-out filename:加密或解密操作後用於保存結果的文件路徑;
-e:加密操作
-d:解密操作
-a/-base64:用純文本格式進行密文編碼;
-salt:隨機加鹽;

示例:
加密文件:
~]# openssl enc -e -des3 -in anaconda-ks.cfg -a -out anaconda-ks.cfg.encryptfile
解密文件:
~]# openssl enc -d -des3 -out anaconda-ks.cfg -a -in anaconda-ks.cfg.encryptfile

使用dgst加密(單向加密)
示例:
~]# openssl dgst -sha1 fstab

生成隨機數命令:rand
格式:
openssl rand [-out file] [-rand file(s)] [-base64] [-hex] num

示例:
~]# openssl rand -base64 8

生成帶鹽的密碼:passwd
格式:
openssl passwd -1 -salt SALT_STRING

示例:
~]# openssl passwd -1 -salt 01234567

公鑰加密算法:genrsa
生成rsa加密算法的私鑰;

格式:
openssl genrsa [-out filename] [-des] [-des3] [-idea] [-f4] [-3] [numbits]

出於安全考慮,需要給創建的私鑰賦予只有擁有者才能讀寫其他任何人都不能讀寫的權限;建議使用下列方法生成私鑰:

示例:
~]# (umask 077 ; openssl genrsa -out /tmp/my.key 4096)
~]# (umask 077 ; openssl genrsa > /tmp/my.key 4096)

從以及生成的私鑰文件中抽取公鑰:rsa
格式:
openssl rsa [-in filename] [-out filename] [-pubout]
-pubout:抽取公鑰
-in filename:私鑰文件的路徑
-out filename:公鑰文件的路徑

示例:
~]# openssl rsa -in my.key -out mykey.pub -pubout

利用openssl創建一個屬於自己管理的CA:
1.創建CA所在主機的私鑰文件;
2.生成自簽證書;
3.必須為CA提供必須要的目錄級文件及文本級文件;
目錄級文件:
/etc/pki/CA/certs
/etc/pki/CA/crl
/etc/pki/CA/newcerts
文本級文件:
/etc/pki/CA/serial:保存證書的序列號,一般初始序列號為01;
/etc/pki/CA/index.txt:證書索引;
/etc/pki/tls/openssl.cnf:配置文件

創建私有CA的步驟:
1.創建CA的私鑰文件:
(umask 077 ; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

2.生成自簽證書:
openssl req命令:
openssl req [-out filename] [-new] [-key filename] [-x509] [-days n]

3.完善目錄及文本文件結構:
touch /etc/pki/CA/index.txt
echo 01 > /etc/pki/CA/serial

在CA上查看證書內容:
openssl x509 -in /etc/pki/CA/cacert.pem -noout -serial -subject

吊銷證書:必須在CA上執行;
1.獲取客戶端證書對應的序列號:
openssl x509 -in /etc/pki/CA/certificate -noout -serial

2.吊銷證書:
openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

註意:上述命令中的"SERIAL"要換成準備吊銷的證書的序列號;

3.生成吊銷證書的吊銷索引文件;僅需要第一次吊銷證書時執行此操作:
echo "SERIAL" > /etc/pki/CA/crl/crlnumber

4.更新證書吊銷列表:
openssl ca -genctl -out /etc/pki/CA/crl/ca.crl

5.查看CRL:
openssl crl -in /etc/pki/CA/crl/ca.crl -noout -text

openssl的應用及創建CA

相關推薦

openssl應用CA

網絡運維openssl命令行工具: 眾多的子命令實現各種安全加密功能; ]# openssl ? 顯示的內容有 Standard commands(標準命令) enc, dgst, ca, req, genrsa, rand, rsa, x509, pas

Django學習(一)---基本配置項目、應用

cut 維護 onf response settings 通過 學習 clu render 安裝:在Django官網下載最新版Django然後通過pip安裝即可 一、創建項目 進入文件夾,打開cmd窗口,輸入django-admin startproject myblog(

CA自簽證書發證

ca創建所需要的文件。cd /etc/pki/CA目錄中,在此目錄中 touch index.txt文件echo 01 > serialCA自簽證書(umask 077;openssl genrsa -out private/cakey.pem 2048)這一步是建立私鑰,openssl req -ne

磁盤分區文件系統

fdisk mkfs 磁盤分區 創建文件系統磁盤分區及創建文件系統機械式硬盤 1.平均尋道時間:ns 2.磁盤轉速:rpm 5400 7200 10000rpm 15000rpm track:磁道 sector:扇區,512Bytes,現在我們所說的扇區實際上是平均值 cylinder:柱面,從磁道

modelsim調用產生隨機數虛擬類

iic blue 類型 div spa 窗口 查看 隨機數 lan 1、 Modelsim仿真產生隨機數 reg data; data = $random % a; //產生從-a+1 ~ a-1 的隨機數 data = {$random} % a; //產生從0

CA自簽證書

ech data- city lease ber after .cn cal match 創建CA自簽證書 1,創建CA服務器的私鑰: (umask 0077;openssl genrsa -out cakey.pem 2048) 註意:將私鑰放在目錄下 /etc/pki/

MySQL中的數據類型

浮點 for rop base 創建 creat reat float text MySQL創建: 1.創建數據庫create database test2; 2.刪除數據庫drop database test2;3.創建表create table ceshi( id

Linux LVM詳解

lvm 1. LVM基本創建及管理 2. LVM快照 3. LVM與RAID的結合使用:基於RAID的LVMLVM創建: 描述: LVM是邏輯盤卷管理(LogicalVolumeManager)的簡稱,它是Linux環境下對磁盤分區進行管理的一種機制,LVM是建立在硬盤和分區之上的一個邏輯層,來提高磁盤分

Cordova 開發環境搭建第一個app

maven 環境變量配置 src 搜索 編譯 win 所有 log api 整理記錄使用cordova創建app應用程序並將其部署至Android系統移動設備上詳細過程,具體如下: 一、前期安裝環境 1. 安裝JDK(java開發工具包) 2. 安裝gradle 3. 安裝

Sqlite初識(Sqlite下載安裝數據庫方法)

還要 -a 執行 現在 struct ble alt 源代碼 系統 界面和MYSQL一樣,都是CMD界面,但不是在SQLite.exe中創建數據庫: 首先還是說一下cmd下sqlite的使用網上已經很多了、不做過多的贅述。大致說一下相應的命令就行了、作為學習sqlite的一

CA 和申請證書

cacentos6中一. 創建私有CA 1 、創建所需要的文件touch /etc/pki/CA/index.txt 生成證書索引數據庫文件echo 01 > /etc/pki/CA/serial 指定第一個頒發證書的序列號2、 CA 自簽證書生成私鑰cd /etc/pki/CA/ (umask 06

1.1安裝Linux虛擬機

文件 image put fff 環境 分享 alt war width 系統:CentOS-7.0-1406-x86_64 虛擬機VMware Workstation 10 終端puTTy + Xshell 各軟件版本變更 r.aminglinux.com 代

守護進程詳解,daemon()使用

blog zomb 錯誤信息 數據庫 net == span 孤兒進程 null 一,守護進程概述   Linux Daemon(守護進程)是運行在後臺的一種特殊進程。它獨立於控制終端並且周期性地執行某種任務或等待處理某些發生的事件。它不需要用戶輸入就能運行而 且提供某種

django 模型,項目與應用 ,url,views,template ,controller

自己 就是 代碼 別名 安裝 創建 djang import 命令 1,web框架 框架--framework,是為解決一個問題兒設計一個有約束性的支持結構,可以快速的開發系統, 對於所有的web框架,本質就是一個sock的服務端,而瀏覽器就是一個sock客戶端。 WSGI

scrapy1-安裝第一個項目

lock 們的 img 之前 body 通過 inf cif info https://zhuanlan.zhihu.com/p/24669128 架構概覽 各組件作用 Scrapy Engine 引擎負責控制數據流在系統中所有組件中流動,並在相應動作發生時

安全與加密-SSL交互與握手過程 CA和證書管理

ror 描述 sin code oss shadow pro back 自簽名證書 上一篇章中我們講了使用gpg和openssl加密公鑰進行安全數據通訊的場景。可是,網絡中總是有不懷好意的角色存在,別以為你以公鑰加密了就是安全的,有沒有想過,你得到的這個公鑰是不是真正要跟你

Linux添加磁盤分區管理

ddt 使用 linux 磁盤配額 分區工具 file 當前 blocks box 檢測並確認新硬盤 執行“fdisk -l”命令可以查看、確認新增硬盤的設備名稱和位置。“fdisk -l”命令的作用是列出當前系統中所有硬盤設備及其分區的信息。例如:[root@loca

Mysql DBA 高級運維學習筆記-索引知識索引的多種方法實戰

varchar not 要求 相關 auto 唯一索引 cte lte 推薦 本文是我學習老男孩老師的Mysql DBA 高級運維課程的學習筆記,老男孩老師講的很好,非常感謝老男孩老師。剛剛接觸運維有很多不懂得知識,如果我發表的文章有不正確的地方,請運維行業的精英,老師及時

安裝Vue 一個Vue 項目

uid 輸出 創建 ref 意思 htm install 之前 ejs 創建一個Vue項目 首先要先安裝node 及 npm 詳情見 【http://www.cnblogs.com/ylboke/p/8342116.html 】及 【http://www.cnblogs.c

maven安裝、配置工程

lec 不能 前三 變量 lob users 網絡 無法 pla 準備工作 java開發環境(JDK) maven下載地址:http://maven.apache.org/release-notes-all.html 一、安裝 安裝maven