linux安全和加密篇（三）—openssl工具和CA证书

OpenSSL：开源项目

三个组件：

openssl: 多用途的命令行工具，包openssl
libcrypto: 加密算法库，包openssl-libs

[root@centos7-4 data]# openssl-libs

libssl：加密模块应用库，实现了ssl及tls，包nss

[root@centos7-4 data]# rpm -ql nss

openssl命令：

两种运行模式：交互模式和批处理模式
openssl version：程序版本号
标准命令、消息摘要命令、加密命令
标准命令：
enc, ca, req, ...

[root@centos7-4 data]# rpm -ql openssl
/etc/pki/CA
/etc/pki/CA/certs
/etc/pki/CA/crl
/etc/pki/CA/newcerts
/etc/pki/CA/private
usr/bin/openssl

openssl 命令支持对称加密，非对称加密解密等

用法：1、交互式

[root@centos7-->08:52:30~]#openssl
OpenSSL> ?

openssl:Error: '?' is an invalid command.

linux安全和加密篇（三）—openssl工具和CA证书-LMLPHP

2、非交互式

openssl + 命令命令.....

对称加密：

工具： openssl enc, gpg
算法： 3des, aes, blowfish, twofish

enc命令：

帮助： man enc
加密：
openssl enc -e -des3 -a -salt -in testfile
-out testfile.cipher

解密：

openssl enc -d -des3 -a -salt –in testfile.cipher
-out testfile
openssl ?

加密例子：

第一步：

[root@centos7-->14:47:26/app]#openssl enc -e -des3 -a -salt -in fstab -out fstab.cip
enter des-ede3-cbc encryption password:
Verifying - enter des-ede3-cbc encryption password:

第二步：

[root@centos7-4 data]# base64 -d test.cip

######使用base64 -d fstab.cip 编码转换成二进制####

第三步：

解密

[root@centos7-4 data]# openssl enc -d -des3 -a -salt -in test.cip -out test2

enter des-ede3-cbc decryption password:

单向加密：

工具： md5sum, sha1sum, sha224sum,sha256sum…
openssl dgst

dgst命令：

帮助： man dgst
openssl dgst -md5 [-hex默认] /PATH/SOMEFILE
openssl dgst -md5 testfile
md5sum /PATH/TO/SOMEFILE

例子：

md5sum test

[root@centos7-4 data]# md5sum test
cf4676656ace92c1d8e1edf2f2ecbf6a  test

[root@centos7-4 data]# openssl dgst -md5 test
MD5(test)= cf4676656ace92c1d8e1edf2f2ecbf6a

因为算法一样，所以得出的哈希值也相同

生成用户密码：

passwd命令:
帮助： man sslpasswd
openssl passwd -1 -salt SALT(最多8位)
openssl passwd -1 –salt centos

生成随机数：

帮助： man sslrand
openssl rand -base64|-hex NUM
NUM: 表示字节数； -hex时，每个字符为十六进制，相当于4位二进制，出现的字符数为NUM*2

man sslpasswd

例子：

openssl passwd

默认使用： -crypt加密

例子1、

[root@centos7-4 data]# openssl passwd
Password:
Verifying - Password:
NNiotT0rFp20E

例子2、

[root@centos7-4 data]# openssl passwd -1
Password:
Verifying - Password:
$1$NfgvMVBF$g/fovTmTnv5B2OUKJvFr21

例子3、

[root@centos7-4 data]# openssl passwd -1 -salt centos
Password:
$1$centos$Uq6E6Wp5SDZYbs6MCmamP0

生成随机数

例子：openssl rand -base64 12

[root@centos7-4 data]# openssl rand -base64 12
WdOrd0ZhcRlLAnJ+

例子：echo "ab" |base64 2^6=64

[root@centos7-4 data]# echo -n "ab" |base64
YWI=

64个字符表示系统中的二进制数

[root@centos7-4 data]# echo -n "abc" |base64 > abc.base64

[root@centos7-4 data]# cat abc.base64
YWJj

base64编码本身不加密，可以使用base64 -d 反向解析成源码

[root@centos7-4 data]# base64 -d abc.base64
abc

随机口令多少位：openssl rand -base64 24|tr -d '/+' |head -c12

生成随机口令：cat /dev/urandom |tr -dc 'A-Za-z0-9' |head -c 12

[root@centos7-4 data]# openssl rand -hex 10
21840dfde41df91375a6

openssl命令对称加密

公钥加密：

算法： RSA, ELGamal
工具： gpg, openssl rsautl（ man rsautl）

数字签名：

算法： RSA, DSA, ELGamal

密钥交换：

算法： dh
DSA: Digital Signature Algorithm
DSS： Digital Signature Standard
RSA：

生成密钥对儿： man genrsa

生成私钥

openssl genrsa -out /PATH/TO/PRIVATEKEY.FILE NUM_BITS
(umask 077; openssl genrsa –out test.key –des 2048)
openssl rsa -in test.key –out test2.key 将加密key解密

从私钥中提取出公钥

openssl rsa -in PRIVATEKEYFILE –pubout –out PUBLICKEYFILE
openssl rsa –in test.key –pubout –out test.key.pub

随机数生成器：伪随机数字

键盘和鼠标，块设备中断
/dev/random：仅从熵池返回随机数；随机数用尽，阻塞
/dev/urandom：从熵池返回随机数；随机数用尽，会利用软件生成伪随机

[root@centos7-4 data]# cat /dev/random |tr -dc "A-Za-z0-9" |head -c 12
Wwy3w7QwI9hk

[root@centos7-4 data]# cat /dev/urandom |tr -dc "A-Za-z0-9" |head -c 12
AisDjYYIN3z7

例子：生成私钥

1、不加密的私钥

[root@centos7-4 data]# openssl genrsa -out test.key 1024
Generating RSA private key, 1024 bit long modulus
..++++++
........................++++++
e is 65537 (0x10001)

2、使用dns3加密私钥

[root@centos7-4 data]# (umask 066;openssl genrsa -out test2.key -des3 2048)
Generating RSA private key, 2048 bit long modulus
.......................................+++
..............................................................................................................+++
e is 65537 (0x10001)
Enter pass phrase for test2.key:
Verifying - Enter pass phrase for test2.key:

解密私钥

[root@centos7-4 data]# openssl rsa -in test2.key -out test22.key
Enter pass phrase for test2.key:
writing RSA key

[root@centos7-4 data]# ls

 test2.key              test22.key        ###解密后出来的test22私钥文件

[root@centos7-4 data]# openssl rsa -in test2.key -pubout -out test2.pub
Enter pass phrase for test2.key:
writing RSA key

[root@centos7-4 data]# ls

test2.key    test2.pub                ###从私钥中提取出的公钥

小蜜蜂