隨手筆記NO.7

使用opnessl進行文件加密

• 加密

  [root@feitian ~]# openssl  enc -des3  -salt -a   -in /etc/inittab  -out /mnt/inittab.des3
  enter des-ede3-cbc encryption password:          #輸入密碼
  Verifying - enter des-ede3-cbc encryption password:  #重複輸入密碼
              -a  基於64位的庫進行加密
              -salt  在加密時使用salt
              -des3  基於對稱加密算法DES3，就是你的加密使用的算法
              - in  要加密的文件
              - out 要輸出到那個文件

• 解密
  openssl enc -des3 -d -salt -a -in /mnt/inittab.des3 -out /mnt/inittab

提取數據的特徵碼

#首先使用sha1sum和md5sum進行提取數據特徵碼
    [root@feitian mnt]# sha1sum  inittab
    22a27cacaf1d552fe38d71f98fd7bd2d6f6f6ac2  inittab
    [root@feitian mnt]# md5sum  inittab
    48068226d869ca629629554d324e69c8  inittab
    [root@feitian mnt]# openssl  dgst -sha1  inittab
    SHA1(inittab)= 22a27cacaf1d552fe38d71f98fd7bd2d6f6f6
    [root@feitian mnt]# openssl  dgst -md5  inittab
    MD5(inittab)= 48068226d869ca629629554d324e69c8
    [root@feitian mnt]# openssl  dgst -md5  inittab
    MD5(inittab)= 48068226d869ca629629554d324e69c8

注意這裏使用相同的算法提取特徵碼，結果同樣

使用openssl生成密碼串

[root@feitian mnt]# openssl  passwd -1
    Password: 
    Verifying - Password: 
    $1$Cb1P8fiX$Q0TBrZs678KPL1XDJoezA1

這裏和咱們/etc/shadow中保存的密碼同樣，這裏注意salt相同，相同的密碼加密結果相同

[root@feitian mnt]# openssl   passwd -1  -salt Cb1P8fiX
    Password: 
    $1$Cb1P8fiX$Q0TBrZs678KPL1XDJoezA1

使用openssl生成僞隨機數

[root@feitian mnt]# openssl  rand  -base64  45
MdGPzBDVF1gcSomGHcP3Iaz***ndb6yYpdTFYLgP+X0F5sWR+oIFp/RL9Y6D
#45是加密長度

openssl實現私有CA

• genrsa 生成rsa的私鑰(通常CA證書使用rsa)

• gendsa生成dsa的私鑰

  #第一步生成私鑰：
      [root@feitian mnt]# (umask 077 ;openssl  genrsa  1024 >serverkey
      #注意使用括號，是指定命令在子shell中執行，執行完直接退出
      #生成公鑰
      [root@feitian mnt]# openssl  rsa -in  serverkey  -pubout
      #生成CA
      [root@feitian mnt]# openssl req -new -x509 -key serv
      #使用文本查看證書信息
      [root@feitian mnt]# openssl  x509 -text -in server.crt
      erkey  -out server.crt -days 365
  #修改CA的配置文件，更改生成默認值
       [root@feitian tls]# pwd
      /etc/pki/tls
      [root@feitian tls]# vim openssl.cnf 
      #私鑰的存放地址
       [root@feitian private]# pwd
      /etc/pki/CA/private
      [root@feitian private]# (uamsk 077;openssl  genrsa  -out cakey.pem  2048)
      [root@feitian private]# cd ..
    [root@feitian CA]# openssl  req -new -x509  -key  cakey.pem  -out  cacert.pem
      #建立須要的目錄
      [[root@feitian CA]# mkdir  certs newcerts crl 
      [root@feitian CA]# touch index.txt 
    [root@feitian CA]# touch serial
  
      #另一個主機先CA模擬申請證書
      #首先建立私鑰
      [root@loveyu ssl]# (umaskt 077;openssl genrsa -out httpd.key 1024)
       #填寫好證書信息，向CA提交
      [root@loveyu ssl]# openssl req -new -key httpd.key -out httpd.csr
      [root@feitian mnt]# openssl   ca -in  httpd.csr  -out  httpd.crt  -days 100