OpenSSL命令行工具

时间:2022-09-08 17:38:53

  数据的加密解密对于Linux系统来说,是至关重要的一个概念,必须懂的对数据进行保护,上次我们详细说了关于数据加密的种种方式,如公钥加密,单向加密,密钥交换等,以及认证机构CA的存在;而OpenSSL命令就是一个可以帮助我们实现公钥加密,创建私钥,并根据私钥创建出公钥;还可以进行单向加密,生成随机数,对用户的密码进行加密操作;还有一点,就是可以利用OpenSSL自己认证生成私人CA,用户可以根据OpenSSL命令生成CA请求证书,并将此证书发给有公信力的CA进行认证,产生一个CA证书用来证明用户;

  openssl enc:加密解密命令,可以指定加密算法加密文件;

   in filename:加密文件路径;

   out filename:输出的加密文件路径;

   -ciphername:算法名称,des3,des,aes,rc4;

   -e:加密;

   -d:解密;

   -a/-base64:纯文本格式的加密;

   -salt:随机盐;

  加密实例:

  OpenSSL命令行工具

  解密实例:

  OpenSSL命令行工具


  openssl rand:生成随机数

   -hex:生成十六进制的随机数;

   -base64:生成纯文本格式的随机数;

   实例:

   OpenSSL命令行工具


  openssl dgst:单向加密,只能加密,不能解密;

   -ciphername:指定单向加密算法,sha,md5等;

   实例:

   OpenSSL命令行工具


  openssl passwd:用户密码加密;

   openssl passwd -1 -salt (盐可自写)

    openssl passwd [-1] [-salt string]

    实例:

    OpenSSL命令行工具


 openssl genrsa:公钥加密,首先创建私钥;

   -out filename:将私钥放入文件中;

   私钥文件最好是将权限设置为600,这样其他用户就无法访问修改,只有创建这个私钥文件的用户  可以访问修改;

   实例:

   OpenSSL命令行工具

  设置权限:

  OpenSSL命令行工具

  

  openssl rsa:根据私钥文件生成公钥

  一个私钥只能生成同一种公钥,除非私钥文件遭到修改,否则公钥文件不会产生变化;

   -in filename:私钥文件作为输入;

   -out filename:公钥文件作为输出;

   实例:

   OpenSSL命令行工具


  建立私有的CA

  建立一个私有的CA文件首先要创建几个固定的CA配置文件,这些配置文件都是在CA专有的配置文件中有对应的位置的,如果要修改文件名的话,也要将CA专有的配置文件/etc/pki/tls/openssl.cnf中的文件名;

  目录级文件:

   /etc/pki/CA/certs

   /etc/pki/CA/newcerts

   /etc/pki/CA/crl

  文本级文件:

   /etc/pki/CA/index.txt

   /etc/pki/CA/serial

  需要在文件serial中输入01,其余文件如果没有就创建,放空即可;

  CA创建的公钥私钥必须放在指定路径下的文件中;

  公钥:/etc/pki/CA/cacert.pem

  私钥:/etc/pki/private/cakey.pem


  创建CA私钥:

  OpenSSL命令行工具


  生成自检的证书

  openssl req -new -x509 -key filename -out filename

  -new:生成一个新的证书;

  -x509:当是CA生成这个自签证书时使用x509;

  -key:CA的私钥;

  -out filename:输出的公钥文件即自签证书;

  -days:自签证书的有效期限,以天为单位;

  实例:

  OpenSSL命令行工具

  

  CA对外来用户的证书申请,需要经过严格的审核,而在审核过后,CA就可以通过openssl ca来对用户签发证书,证书完成后,发送给用户即可;

  用户的证书申请的生成也同CA的证书生成一样,都是使用openssl req生成的;

  用户将自己生成的证书,发送给CA

  openssl ca -in 用户证书路径 -out 生成的用户证书路径 -days 有效期限