基於CentOS 6.5 加密、解密、openssl的基本應用及CA的實現過程

1、加密和解密

 一、加密方式有：對稱加密、單向加密、公鑰加密

   對稱加密：

     工具：gpg openssl enc

     加密：openssl enc -des3 -a -salt -in /ets/fstab -out /tmp/fstab.cipher

     解密：openssl enc -d -dec3 -a -salt -in /tmp/fstab.cipher  -out 文件

    

   單向加密：

     工具：sha1sum,md5sum,openssl dgst

      openssl dgst [-md5|-md4|-md2|-sha1|-sha|-mdc2|-ripemd160|-dss1][-out filename]         /path/to/somefile

   公鑰加密：公鑰加密，私鑰解密

      工具：gpg openssl rsautl

      數字證書：

          第三方機構使用一種安全的方式把公鑰分發出去

           證書格式：x509，pkcs家族

           x509格式：

           公鑰和有效期限：

           持有者的我的合法身份信息；（主機名）

           證書的使用方式

           CA的信息

           CA的數字簽名

        誰給CA發證：自簽署證書

   用戶

    1.生成一對密鑰

    2.把所需信息和公鑰按固定格式製做成證書申請

   CA機構

    1.自簽證書

    2.簽署證書

    3.傳給用戶

    4.維護吊銷列表

    OpenCA

  

2、 用openssl實現私有CA

       配置文件/etc/pki/tls/openssl.cnf 

    

   

    一、生成密鑰對兒：

                # cd /etc/pki/CA/

# (umask 077; openssl genrsa -out private/cakey.pem 2048)

      

       

    二、生成自簽證書：

             # openssl  req -new -x509 -key private/cakey.pem  -out cacert.pem            -days 3655（表示生成自簽證書的有效期）

    

    

    三、建立所須要的文件：

          

3、用openssl實現證書申請：

    一、在主機上生成密鑰，保存至應用此證書的服務的配置文件目錄下, 例如：

      

    二、生成證書籤署請求：

      

    

    三、將請求文件發往CA：

       

   

3、CA簽署證書

     一、簽署：

                

     二、將證書傳回給請求者

          

     

四：吊銷證書：

      回到CA主機：

         # openssl ca -revoke /test/httpd.crt