openssl自签署CA
一:安全的目标
保密性: confidentiallty 信息不能被第三方解开
完整性:integrity 信息完整
可用性:avallabilty 接收方可解
二:攻击类型:
威胁保密性的攻击:窃听、通信量分析
威胁完整性的攻击:更改、伪装、重放、否认
威胁可用性的攻击:拒绝服务(Ddos)
技术:加密解密、服务(用于抵御攻击的服务,也就是为了上述安全目标特地涉及的安全服务)
加密解密:
1 传统加密法。 源文通过替代, 位移等算法 成密文。替代。置换加密算法。参与者(密钥)
2 现代加密方法:块加密方法。前后块建立联系。
服务:
1 认证机制。
2 访问控制机制。
密钥算法和协议:
1:对称加密: 加密解密使用同一个密钥:DES(Data Encryption Standard) 块加密。3DES:Triple EDS…AES:(Advanced Encryption Standard:128bits 192bits 256bits 384bits).
2:公钥加密: 密钥成对出现。公钥->私钥。 secret key;
用途:
1:数字签名:加密数据的特征码。 验证发送者身份是否正确。
2:密钥交换 :用对方公钥加密一个对称密钥 并发送给对方。
3:算法:
RSA :可以签名和加解密。
DSA :数据签名算法。 DSS。数据签名标准。只能签名。
ELGamal :
3:单向加密:提取数据指纹。数据完整性验证。md5:message digst 5 ;ssa1:secure hash algorithm 1 ,160bits;
密钥交换:
公钥加密:
DH(Deffie-Hellman):算法。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aZNXFKtL-1678789760747)(docker - 副本.assets/image-20230314182654222.png)]
4:认证协议
Linux系统:
OpenSSL ssl的实现
libencrypt : 加密解密的库
libssl: 实现ssl通信机制的库。安全通信。
openssl 命令行工具。
GPG (pgp)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tZ3bU8UN-1678789760749)(docker - 副本.assets/image-20230314182714457.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BTkmAPQa-1678789760750)(docker - 副本.assets/image-20230314182728380.png)]
PKI: Public Key Infrastructure
公钥基础设施:
签证机构:CA
注册机构:RA
证书吊销列表:CRL
证书存取库:
X.509v3:定义证书结构及认证协议标准
版本号
序列号
签名算法ID
发行者名称 CA名称
有效期限
主体名称 个人名字 必须一致。
主体公钥
发行者的唯一标识 CA标识
主体的唯一标识 证书拥有这标识
扩展
发行者的签名 CA把数据进行单向加密做数字签名。
SSL会话
一:自签CA;
三种策略:match匹配、optional可选、supplied提供
match:要求申请填写的信息跟CA设置信息必须一致,此为默认策略,也就时我们创建私有CA时需要注意国家,省份,机构需要和CA的配置相同。
[ policy_match ]
countryName = match #必须同CA 国家
stateOrProvinceName = match #必须同CA 城市
organizationName = match #必须同CA 组织
organizationalUnitName = optional #无所谓 部门 可不写
commonName = supplied #提供 后期用
emailAddress = optional #无所谓
# 1 生成私钥
(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
# 2 生成自签证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655
Country Name (2 letter code) [XX]:CN #国家名字 必填 match
State or Province Name (full name) []:HeNan #省份 必填 match
Locality Name (eg, city) [Default City]:ZhengZhou #城市 可以没有
Organization Name (eg, company) [Default Company Ltd]:MY #公司组织 必填 match
Organizational Unit Name (eg, section) []: #部门 可以没有
Common Name (eg, your name or your server's hostname) []:CAmy #CA服务器的名字
Email Address []: #可以不填
==================
echo 01>serial
cd ssl
(umask 077; openssl genrsa -out httpd.key 2048)
openssl req -new -key httpd.key -out httpd.csr -days 3650
Country Name (2 letter code) [XX]:CN #必须同CA
State or Province Name (full name) []:HeNan #必须同CA 州或者省份
Locality Name (eg, city) [Default City]:ZhengZhou #可以没有 公司所在城市
Organization Name (eg, company) [Default Company Ltd]:MY #必须同CA 组织
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:www.my.com #提供 后期用
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
scp httpd.csr ops@172.16.13.101:/tmp/
=======
subject= /C=CN/ST=HeNan/O=MY/CN=www.my.com
openssl ca -in httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 3650
index.txt #签署的证书
rm -f httpd.csr
openssl x509 -in httpd.crt -noout -serial -subject
openssl ca -in httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 3650
index.txt #签署的证书
rm -f httpd.csr
openssl x509 -in httpd.crt -noout -serial -subject
相关文章
- 【技术种草】cdn+轻量服务器+hugo=让博客“云原生”一下
- CLB运维&运营最佳实践 ---访问日志大洞察
- vnc方式登陆服务器
- 轻松学排序算法:眼睛直观感受几种常用排序算法
- 十二个经典的大数据项目
- 为什么使用 CDN 内容分发网络?
- 大数据——大数据默认端口号列表
- Weld 1.1.5.Final,JSR-299 的框架
- JavaFX 2012:彻底开源
- 提升as3程序性能的十大要点
- 通过凸面几何学进行独立于边际的在线多类学习
- 利用行动影响的规律性和部分已知的模型进行离线强化学习
- ModelLight:基于模型的交通信号控制的元强化学习
- 浅谈Visual Source Safe项目分支
- 基于先验知识的递归卡尔曼滤波的代理人联合状态和输入估计
- 结合网络结构和非线性恢复来提高声誉评估的性能
- 最佳实践丨云开发CloudBase多环境管理实践
- TimeVAE:用于生成多变量时间序列的变异自动编码器
- 具有线性阈值激活的神经网络:结构和算法
- 内网渗透之横向移动 -- 从域外向域内进行密码喷洒攻击