openssl的用法

Openssl詳細用法：

OpenSSL 是一個開源項目，其組成主要包括一下三個組件：

• openssl：多用途的命令行工具

• libcrypto：加密算法庫

• libssl：加密模塊應用庫，實現了ssl及tls

openssl能夠實現：祕鑰證書管理、對稱加密和非對稱加密 。

一、對稱加密

對稱加密須要使用的標準命令爲 enc ，用法以下：

 openssl enc -ciphername [-in filename] [-out filename] [-pass arg] [-e] [-d] [-a/-base64]
        [-A] [-k password] [-kfile filename] [-K key] [-iv IV] [-S salt] [-salt] [-nosalt] [-z] [-md]
        [-p] [-P] [-bufsize number] [-nopad] [-debug] [-none] [-engine id]

 

經常使用選項有：

 -in filename：指定要加密的文件存放路徑
  
 -out filename：指定加密後的文件存放路徑
  
 -salt：自動插入一個隨機數做爲文件內容加密，默認選項
  
 -e：能夠指明一種加密算法，若不指的話將使用默認加密算法
  
 -d：解密，解密時也能夠指定算法，若不指定則使用默認算法，但必定要與加密時的算法一致
  
 -a/-base64：使用-base64位編碼格式

 加密：]# openssl enc -e -des3 -a -salt -in fstab -out fstab.bak
 解密：]# openssl enc -d -des3 -a -salt -in fstab.bak -out fstab

二、單向加密

單向加密須要使用的標準命令爲 dgst ，用法以下：

 openssl dgst [-md5|-md4|-md2|-sha1|-sha|-mdc2|-ripemd160|-dss1] [-c] [-d] [-hex] [-binary]
 [-out filename] [-sign filename] [-keyform arg] [-passin arg] [-verify filename] [-prverify  filename] [-signature filename] [-hmac key] [file...]

經常使用選項有：

[-md5|-md4|-md2|-sha1|-sha|-mdc2|-ripemd160|-dss1] ：指定一種加密算法

-out filename：將加密的內容保存到指定文件中

示例以下：

 openssl dgst -md5 f1 等價於md5sum f1

單向加密除了 openssl dgst 工具還有： md5sum，sha1sum，sha224sum，sha256sum ，sha384sum，sha512sum

示例以下：

 shs512sum fstab
   md5sum  fstab

三、生成密碼

生成密碼須要使用的標準命令爲 passwd ，用法以下：

 openssl passwd [-crypt] [-1] [-apr1] [-salt string] [-in file] [-stdin] [-noverify] [-quiet] [-table] {password}

經常使用選項有：

-1：使用md5加密算法

-salt string：加入隨機數，最多8位隨機數

-in file：對輸入的文件內容進行加密

-stdion：對標準輸入的內容進行加密

示例以下：

 openssl passwd -1 -in fstab -salt 11111

四、生成隨機數

生成隨機數須要用到的標準命令爲 rand ，用法以下：

 openssl rand [-out file] [-rand file(s)] [-base64] [-hex] num

經常使用選項有：

-out file：將生成的隨機數保存至指定文件中

-base64：使用base64 編碼格式

-hex：使用16進制編碼格式

示例以下：

 (umask 077;openssl genrsa -out test.key -des3 2048)  生成test.key私鑰文件並以des3的算法加密
  
 make /data/test.key    或者直接切換至cd /etc/pki/tls/certs下生成私鑰，裏邊有一個makefile文件就能夠自動生成私鑰文件
 1
 openssl rsa -in test.key -out test2.key.bak   對test.key 私鑰進行解密並導出文件起名叫test2.key.bak

五、生成祕鑰對

首先須要先使用 genrsa 標準命令生成私鑰，而後再使用 rsa 標準命令從私鑰中提取公鑰。

genrsa 的用法以下：

 openssl genrsa [-out filename] [-passout arg] [-des] [-des3] [-idea] [-f4] [-3] [-rand file(s)] [-engine id] [numbits]

經常使用選項有：

-out filename：將生成的私鑰保存至指定的文件中

-des|-des3|-idea：不一樣的加密算法

numbits：指定生成私鑰的大小，默認是2048

通常狀況下祕鑰文件的權限必定要控制好，只能本身讀寫，所以可使用 umask 命令設置生成的私鑰權限，示例以下：

 (umask 077;openssl genrsa -out test.key -des3 2048)  生成test.key私鑰文件並以des3的算法加密
  
 make /data/test.key    或者直接切換至cd /etc/pki/tls/certs下生成私鑰，裏邊有一個makefile文件就能夠自動生成私鑰文件
 ​
 openssl rsa -in test.key -out test2.key.bak   對test.key 私鑰進行解密並導出文件起名叫test2.key.bak

rsa的用法以下：

 openssl rsa [-inform PEM|NET|DER] [-outform PEM|NET|DER] [-in filename] [-passin arg] [-out filename] [-passout arg]
        [-sgckey] [-des] [-des3] [-idea] [-text] [-noout] [-modulus] [-check] [-pubin] [-pubout] [-engine id]

經常使用選項：

-in filename：指明私鑰文件

-out filename：指明將提取出的公鑰保存至指定文件中

-pubout：根據私鑰提取出公鑰

示例以下：根據私鑰取出公鑰

 openssl rsa -in test.bak -pubout -out test.pubkey

隨機數生成器：僞隨機數字 鍵盤和鼠標，塊設備中斷

/dev/random：僅從熵池返回隨機數；隨機數用盡，阻塞

/dev/urandom：從熵池返回隨機數；隨機數用盡，會利用軟件生成僞隨機 數,非阻塞

示例：

tr -dc 'a-zA-Z0-9' < /dev/urandom 將生成的隨機大小寫字母、數字所有進行打印

tr：參數解釋

 -c或——complerment：取代全部不屬於第一字符集的字符；
 -d或——delete：刪除全部屬於第一字符集的字符；
 -s或--squeeze-repeats：把連續重複的字符以單獨一個字符表示；
 -t或--truncate-set1：先刪除第一字符集較第二字符集多出的字符。