早期的互联网 -- 1980年代,我们需要共享数据,传输数据;所传输或者共享的数据均为明文,随着互联网发展,安全成为了国家的一种战略资源。我们做的,比如编程,运维 -- 手工业安全属于一种科学研究--安全的算法都是需要以数学难题为基础来进行研究,每个国家都疯狂的去研究自己的加密算法,以及去破译别人的加密算法;美国--禁止出口长于256位的加密算法,DH算法 -- 密钥交换(交换对称密钥)。
1、数据必须被加密;
2、完整性校验(哈希、单向加密、指纹);
3、源认证;
4、证书体系(openssl就是用来实现这个PKI证书体系架构的,它包含了前三点)
数据必须被加密
同一个密钥进行加密,同一个密钥进行解密
优点:效率高
缺点:密钥维护非常困难;密钥交换非常困难;
密钥对(公钥加密,私钥解密;私钥加密,公钥解密)
优点:维护密钥方便,只需维护自己的私钥;数据比较安全
缺点:效率低(非常慢)
密钥交换、证书签发、数据加密
异或(相同为0,不同为1)
0101 0100 1001 0101 1100 1001 0100 1010
有一个VI值
0000 0101 0001 1000
0101 0001 1000 1101
测试数据的完整性,保证数据没有被篡改
原理:获取B机器对数据的hash值,A机器对获取的数据在hash一次,A的hash值和B的hash值相互比较,相同说明数据完整,不同说明数据不可信。
非对称密钥的另外一个作用:
/etc/pki/tls
/etc/pki/tls/openssl.cnf -- 默认主配置文件
/usr/bin/openssl-- 命令文件
/etc/pki/CA -- 证书服务器的证书服务根目录
/etc/pki/CA/certs-- 证书存放目录
/etc/pki/CA/crl
/etc/pki/CA/private
index.txt //证书索引信息文件
serial // 证书序列号
cakey.pem //ca证书申请文件
cacert.pem //ca根证书文件
ssl、tls协议连接过程
1、客户:
yum install httpd -y
iptables -t filter -A INPUT -d 192.168.94.128 -p tcp --dport 80 -j ACCEPT
iptables -L -t --line-number -v -Z
/etc/init.d/httpd start
echo abc >/var/www/html/index.html
iptables -t filter -I INPUT 5 -d 192.168.94.128 -p tcp --dport 80 -j ACCEPT
curl http://localhost
curl https://localhost
touch /etc/pki/CA/index.txt
echo 01 > /etc/pki/CA/serial
生成根证书
先修改host文件
hostname ca.local
logout
生成这个文件cakey.pem
(umask 0777; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
openssl的命令使用可是
openssl 子命令
openssl help
man 子命令 //查看到子命令的帮助信息
用文件生成证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
就会进入交互界面
CN
SD
WF
DF
DF
ca.local
admin@df.com
cd /etc/pki/CA/
ls
(umask 0777; openssl genrsa -out http.key 2048)
openssl req -new -key http.key -days 365 -out http.csr
CN
SD
WF
DF
DF
www
admin@df.com
scp http.csr root@192.168.94.130:/root
openssl ca -in http.csr -days 365 -out http.crt
有了证书以后:
scp httpd1.crt root@192.168.94.128:/root
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。