ssl简介与openssl的使用

SSL证书：是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上，也称为SSL服务器证书。

ssl也是传输协议。

基于ssl协议开发的一款软件叫openssl

linux系统默认已经安装

基本功能

OpenSSL整个软件包大概可以分成三个主要的功能部分：SSL协议库、应用程序以及密码算法库。OpenSSL的目录结构自然也是围绕这三个功能部分进行规划的。

作为一个基于密码学的安全开发包，OpenSSL提供的功能相当强大和全面，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，并提供了丰富的应用程序供测试或其它目的使用。

对称加密

OpenSSL一共提供了8种对称加密算法，其中7种是分组加密算法，仅有的一种流加密算法是RC4。这7种分组加密算法分别是AES、DES、Blowfish、CAST、IDEA、RC2、RC5，都支持电子密码本模式（ECB）、加密分组链接模式（CBC）、加密反馈模式（CFB）和输出反馈模式（OFB）四种常用的分组密码加密模式。其中，AES使用的加密反馈模式（CFB）和输出反馈模式（OFB）分组长度是128位，其它算法使用的则是64位。事实上，DES算法里面不仅仅是常用的DES算法，还支持三个密钥和两个密钥3DES算法。

非对称加密

OpenSSL一共实现了4种非对称加密算法，包括DH算法、RSA算法、DSA算法和椭圆曲线算法（EC）。DH算法一般用于密钥交换。RSA算法既可以用于密钥交换，也可以用于数字签名，当然，如果你能够忍受其缓慢的速度，那么也可以用于数据加密。DSA算法则一般只用于数字签名。

信息摘要

OpenSSL实现了5种信息摘要算法，分别是MD2、MD5、MDC2、SHA（SHA1）和RIPEMD。SHA算法事实上包括了SHA和SHA1两种信息摘要算法。此外，OpenSSL还实现了DSS标准中规定的两种信息摘要算法DSS和DSS1。

openssl

配置文件：

/etc/pki/tls/openssl.conf

dir=/etc/pki/CA <<<指定CA工作目录

certs=$dir/certs <<<指定撤销存储库的位置

crl_dir=$dir/crl <<<证书撤销列表

database=$dir/index.txt <<<已生成的证书信息的索引文件（此文件默认不存在，需要自己创建）

new_certs_dir=$dir/newcerts <<<新签发的证书的保存位置

certificate=$dir/cacert.pem <<<CA自己的证书名称

serial = $dir/serial <<<记录证书的序号，默认可以从1开始（此文件默认不存在，内容也不能为空，需要手动往里面添加一个数字）

crlnumber = $dir/crlnumber <<<吊销的证书序列号

crl = $dir/crl.pem<<< 吊销的证书的列表

private_key = $dir/private/cakey.pem <<< CA自己的私钥的位置

RANDFILE = $dir/private/.rand <<<随机数文件位置

x509_extensions = usr_cert <<<扩展项

创建CA

1.创建不存在的文件

index,txt

serial

2.给自己（CA）创建证书

实现步骤

1.创建那些不存在的文件

[root@ ~]# touch /etc/pki/CA/index.txt
[root@ ~]# echo "">/etc/pki/CA/serial
[root@~]# cat/etc/pki/CA/serial
[root@~]# cat /etc/pki/CA/serial

2.给CA创建证书

（1）生成CA的私钥文件

[root@ ~]# openssl genrsa -out /etc/pki/CA/private/cakey.pem 1024  <<<数字越大加密强度越大，然而小消耗系统资源也越多
Generating RSA private key,  bit long modulus
.......++++++
....++++++
e is  (0x10001)

（2）从私钥文件中抽取公钥，并制作证书

-new:申请新的证书

-x509：证书版本号，509是给CA自己创建证书的准用选项

-key:指定私钥文件

-days：指定证书有效期

[root@~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem  -days  -out /etc/pki/CA/cacert.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name ( letter code) [XX]:CN  <<<国家名字，只能用两个字母表示
State or Province Name (full name) []:henan <<<所在省
Locality Name (eg, city) [Default City]:zhengzhou <<< 所在市 
Organization Name (eg, company) [Default Company Ltd]:baidu 组织名（公司名）
Organizational Unit Name (eg, section) []:nuomi <<<组织单位名
Common Name (eg, your name or your server's hostname) []:www.baidu.com <<<公司网站域名（一定不能错，否则证书无效）
Email Address []:@.com <<<  邮箱地址

给其他主机制作颁发证书的流程

1.客户端生成一个证书请求文件

2.客户端将证书申请文件发送到CA请求证书

3.检查证书请求文件中的信息的真伪，如果为真，则制作证书并颁发个客户端

实现步骤（以给apache颁发证书为例，服务器端10.220.5.67，客户端10.220.5.63）

1.给apache创建私钥文件（用于存放私钥，公钥以及颁发的证书）

（1）生成客户端私钥

[root@apache ~]# mkdir /etc/httpd/ssl

[root@apache ~]# openssl genrsa -out /etc/httpd/ssl/httpd.key
Generating RSA private key,  bit long modulus
........................................................++++++
........................................++++++
e is  (0x10001)

（2）生成请求文件

[root@apache ~]# openssl req -new -key /etc/httpd/ssl/httpd.key -days -out /etc/httpd/ssl/httpd.req

What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name ( letter code) [XX]:CN
State or Province Name (full name) []:henan

Locality Name (eg, city) [Default City]:zhengzhou
Organization Name (eg, company) [Default Company Ltd]:baidu
Organizational Unit Name (eg, section) []:nuomi
Common Name (eg, your name or your server's hostname) []:www.baidu.com
Email Address []:@.com 
Please enter the following 'extra' attributesto be sent with your certificate request
A challenge password []: <<<对生成的证书进行加密，这里省略
An optional company name []:

（3）查看生成的文件

[root@apache ~]# ls /etc/httpd/ssl/
httpd.key  httpd.req<<此文件就是生成的请求文件

（4）将请求文件发送到服务器端

[root@apache ~]# scp /etc/httpd/ssl/httpd.req root@10.220.5.67:/tmp
The authenticity of host '10.220.5.67 (10.220.5.67)' can't be established.
ECDSA key fingerprint is SHA256:Fi2Rlnl2uce8/7OiRG1JReD158iHVydpZ+bW+IgoutY.
ECDSA key fingerprint is MD5:d0:96:1f:a9:83:fc:0a:bf:1f:20:1b:ec:4d:79:6e:7e.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.220.5.67' (ECDSA) to the list of known hosts.
root@10.220.5.67's password:
httpd.req                                                      100%  700   321.8KB/s   00:00

2.服务端检查请求文件中的信息的真实性（在服务端操作）

[root@e ~]# openssl ca -in /tmp/httpd.req -out /tmp/httpd.crt -days
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number:  (0x1)
        Validity
            Not Before: Nov   ::  GMT
            Not After : Jan   ::  GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = henan
            organizationName          = baidu
            organizationalUnitName    = nuomi
            commonName                = www.baidu.com
            emailAddress              = @.com
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                :DA:6B::2B:D1:3D:AD:::::6D:9D:A6:B0:AB:7B::
            X509v3 Authority Key Identifier:
                keyid::EF::9C::CD:D1::C2:FC:9E:C4::::9C:BB::0C:
 
Certificate is to be certified until Jan   ::  GMT ( days)
Sign the certificate? [y/n]:y
 
 out of  certificate requests certified, commit? [y/n]y
Write out database with  new entries
Data Base Updated

2）将生成的证书发送给客户端

[root@ ~]# scp /tmp/httpd.crt root@10.220.5.63:/etc/httpd/ssl
httpd.crt                                                      %      .1MB/s   :