Linux下安装OpenSSL练手文档
来源:互联网 发布:常见网络骗局有哪些 编辑:程序博客网 时间:2024/06/05 20:50
这段日子需要熟悉OpenSSL ,于是找了一些网上资料,开始在Linux 环境下搭建OpenSSL 环境,并尝试实验一些小例子,可是从网上找到很多文档 貌似都源于一个哥们的总结,但是貌似那个文档中有的地方实在是理解不了,后来发现,是少了一步,汗,这是经过多次查阅后得到的结果,于是将这个补充后能够全部运行的文档整理如下,希望能对需要了解OpenSSL 的兄弟有所帮助:
一、安装 Openssl
Ø 下载 openssl 源代码:
² wget http://www.openssl.org/source/ openssl-0.9.8k.tar.gz
Ø 解压缩:
² tar zxvf openssl-0.9.8k.tar.gz
Ø 设定Openssl 安装,( --prefix )参数为欲安装之目录,也就是安装后的档案会出现在该目录下:
² cd openssl-0.9.8k
² ./config --prefix=/root/openssl
Ø 编译 Openssl:
² make
Ø 安装 Openssl:
² make install
Ø 修改配置文件:
² cat ~/openssl/ssl/openssl.cnf
² 修改其中的配置内容
1) dir= /home/blave/openssl/ssl/misc/demoCA # 设定存取凭证的路径, 并将blave 改成您自己
2) default_days= 3650 # 设定凭证可使用之天数
3) default_bits = 2048 # 设定密钥长度(bits)
三、以 CA 产生次级凭证
Ø 在CA 凭证产生完之后,我们便能够产生使用者或公司所需要之凭证,此次级凭证产生后,使用者便可应用于Email 签章加密或https 等ssl 传输加密。
Ø 产生使用者之密钥档及CSR 档(Certificate Signing Request) :
² cd ~/openssl/ssl/misc/demoCA
² openssl req -nodes -new -keyout test_key.pem /-out test_req.pem -days 3650 -config ~/openssl/ssl/openssl.cnf
² 此处「-keyout 」即为产生Private key 之文档名,这里以「test_key.pem 」为例,您可自行设定。而「-out 」则产生CSR 档,我们以「test_req.pem 」为例。
Ø 产生使用者之凭证:
² openssl ca -config ~/openssl/ssl/openssl.cnf /-policy policy_anything –out test_cert.pem -infiles test_req.pem
Ø 检查凭证是否产生:
² cd ~/openssl/ssl/misc/demoCA
² ls
² 当前目录内容:cacert.pem
crl index.txt.attr test_cert.pem test_req.pem
private serial.old certs index.txt
index.txt.old test_key.pem newcerts serial
² 以上可见,test_cert.pem 、test_req.pem 及test_key.pem 分别为刚刚所产生出来的凭证、CSR 及Private Key 。
四、 Openssl 应用
Ø 以cacert 验证产生出来的使用者cert :
² openssl verify -CApath . /-CAfile cacert.pem test_cert.pem
Ø 检查产生的序号:
² openssl x509 -noout -serial -in test_cert.pem
Ø 检查发行者资讯:
² openssl x509 -noout -issuer -in test_cert.pem
Ø 检查凭证起始及终止日期时间:
² openssl x509 -noout -in test_cert.pem -dates
Ø 检查个人凭证资讯subject :
² openssl x509 -noout -in test_cert.pem -subject
Ø 检查MD5 fingerprint 或SHA-1 fingerprint :
² openssl x509 -noout -in islab_cert.pem -fingerprint -md5/-sha1
Ø 由PEM 转至PKCS12 。Microsoft Outlook Express 使用PKCS12 格式,因此欲使用Microsoft Outlook Express 寄出签章信件,只要将产生出来的“*.p12 ”文档安装在Windows 即可使用:
² openssl pkcs12 -export -in test_cert.pem -out test_cert.p12 -name "My Certificate" -inkey test_key.pem
Ø 由PKCS12 转至PEM:
² openssl pkcs12 -in test_cert.p12 -out test_key2.pem
Ø 再由Private Key 产生凭证:
² openssl x509 -in test_key2.pem -text /-out test_cert2.pem
Ø 文档加密: 「test_cert.pem 」为个人凭证,能够公开给大家,因此某人欲加密传送一文档给我,便能够依下列方式加密。编辑一个纯文字档,在此我们预设档名为「document.txt 」,而经加密码之档名为「document.enc 」:
² echo "This is a text file." > document.txt
² cat document.txt
² openssl smime -encrypt -in document.txt /-out document.enc islab_cert.pem
² cat document.enc
Ø 文档解密: 倘若我们收到了某人传送的「document.enc 」,我们便能使用Private Key 来进行解密:
² openssl smime -decrypt -in document.enc /-recip test_cert.pem –inkey test_key.pem
Ø 文档签章: 为文档签章可证实文档的来源为本人无误,并且能够验证文档是否被篡改。我们依前例,为一纯文字档「document.txt 」签章,签章后文档名为「document.sig 」:
² openssl smime -sign -inkey test_key.pem /-signer test_cert.pem -in document.txt -out document.sig
Ø 文档签章验证: 当某人收到这份文档时,可利用我们的凭证(test_cert.pem) 连同CA 凭证(cacert.pem) 来验证文档:
² openssl smime -verify -in document.sig /-signer islab_cert.pem -out document.txt -CAfile cacert.pem
² 因此我们能够知道,验证方必须事先取得 CA 凭证( cacert.pem ) 方可验证文档。
Ø 文档加密并签章:我们已知怎样加解密连同签章验证的方法了,因此要将文档加密并签章实非难事。我们必须先将文档进行签章再加密,而收方则以相反步骤进行解密再验证即可。
一、安装 Openssl
Ø 下载 openssl 源代码:
² wget http://www.openssl.org/source/ openssl-0.9.8k.tar.gz
Ø 解压缩:
² tar zxvf openssl-0.9.8k.tar.gz
Ø 设定Openssl 安装,( --prefix )参数为欲安装之目录,也就是安装后的档案会出现在该目录下:
² cd openssl-0.9.8k
² ./config --prefix=/root/openssl
Ø 编译 Openssl:
² make
Ø 安装 Openssl:
² make install
Ø 修改配置文件:
² cat ~/openssl/ssl/openssl.cnf
² 修改其中的配置内容
1) dir= /home/blave/openssl/ssl/misc/demoCA # 设定存取凭证的路径, 并将blave 改成您自己
2) default_days= 3650 # 设定凭证可使用之天数
3) default_bits = 2048 # 设定密钥长度(bits)
二、产生 CA 凭证
Ø 我们所产生的 CA 凭证,将放置在 ~/openssl/ssl/misc/demoCA 下,以下我们将介绍怎样产生出最上层的 CA 凭证。
Ø 执行CA 凭证产生程式:
² cd ~/openssl/ssl/misc
² ./CA.sh -newca
Ø 确定CA 凭证及密钥是否产生:
² cd ~/openssl/ssl/misc/demoCA
² ls
² cacert.pem certs crl index.txt newcerts private serial
Ø 可见「cacert.pem 」即是CA 之凭证,而「private 」目录即是存放CA 私钥之处。
² 对 CA 证书请求进行签名:
u openssl ca -selfsign -in careq.pem -out cacert.pem
Ø 设定CA 凭证之存取权限,仅允许本人能存取,他人必须限制其存取权限:
² chmod -R 660 ~/openssl/ssl/misc/ demoCA
三、以 CA 产生次级凭证
Ø 在CA 凭证产生完之后,我们便能够产生使用者或公司所需要之凭证,此次级凭证产生后,使用者便可应用于Email 签章加密或https 等ssl 传输加密。
Ø 产生使用者之密钥档及CSR 档(Certificate Signing Request) :
² cd ~/openssl/ssl/misc/demoCA
² openssl req -nodes -new -keyout test_key.pem /-out test_req.pem -days 3650 -config ~/openssl/ssl/openssl.cnf
² 此处「-keyout 」即为产生Private key 之文档名,这里以「test_key.pem 」为例,您可自行设定。而「-out 」则产生CSR 档,我们以「test_req.pem 」为例。
Ø 产生使用者之凭证:
² openssl ca -config ~/openssl/ssl/openssl.cnf /-policy policy_anything –out test_cert.pem -infiles test_req.pem
Ø 检查凭证是否产生:
² cd ~/openssl/ssl/misc/demoCA
² ls
² 当前目录内容:cacert.pem
crl index.txt.attr test_cert.pem test_req.pem
private serial.old certs index.txt
index.txt.old test_key.pem newcerts serial
² 以上可见,test_cert.pem 、test_req.pem 及test_key.pem 分别为刚刚所产生出来的凭证、CSR 及Private Key 。
四、 Openssl 应用
Ø 以cacert 验证产生出来的使用者cert :
² openssl verify -CApath . /-CAfile cacert.pem test_cert.pem
Ø 检查产生的序号:
² openssl x509 -noout -serial -in test_cert.pem
Ø 检查发行者资讯:
² openssl x509 -noout -issuer -in test_cert.pem
Ø 检查凭证起始及终止日期时间:
² openssl x509 -noout -in test_cert.pem -dates
Ø 检查个人凭证资讯subject :
² openssl x509 -noout -in test_cert.pem -subject
Ø 检查MD5 fingerprint 或SHA-1 fingerprint :
² openssl x509 -noout -in islab_cert.pem -fingerprint -md5/-sha1
Ø 由PEM 转至PKCS12 。Microsoft Outlook Express 使用PKCS12 格式,因此欲使用Microsoft Outlook Express 寄出签章信件,只要将产生出来的“*.p12 ”文档安装在Windows 即可使用:
² openssl pkcs12 -export -in test_cert.pem -out test_cert.p12 -name "My Certificate" -inkey test_key.pem
Ø 由PKCS12 转至PEM:
² openssl pkcs12 -in test_cert.p12 -out test_key2.pem
Ø 再由Private Key 产生凭证:
² openssl x509 -in test_key2.pem -text /-out test_cert2.pem
Ø 文档加密: 「test_cert.pem 」为个人凭证,能够公开给大家,因此某人欲加密传送一文档给我,便能够依下列方式加密。编辑一个纯文字档,在此我们预设档名为「document.txt 」,而经加密码之档名为「document.enc 」:
² echo "This is a text file." > document.txt
² cat document.txt
² openssl smime -encrypt -in document.txt /-out document.enc islab_cert.pem
² cat document.enc
Ø 文档解密: 倘若我们收到了某人传送的「document.enc 」,我们便能使用Private Key 来进行解密:
² openssl smime -decrypt -in document.enc /-recip test_cert.pem –inkey test_key.pem
Ø 文档签章: 为文档签章可证实文档的来源为本人无误,并且能够验证文档是否被篡改。我们依前例,为一纯文字档「document.txt 」签章,签章后文档名为「document.sig 」:
² openssl smime -sign -inkey test_key.pem /-signer test_cert.pem -in document.txt -out document.sig
Ø 文档签章验证: 当某人收到这份文档时,可利用我们的凭证(test_cert.pem) 连同CA 凭证(cacert.pem) 来验证文档:
² openssl smime -verify -in document.sig /-signer islab_cert.pem -out document.txt -CAfile cacert.pem
² 因此我们能够知道,验证方必须事先取得 CA 凭证( cacert.pem ) 方可验证文档。
Ø 文档加密并签章:我们已知怎样加解密连同签章验证的方法了,因此要将文档加密并签章实非难事。我们必须先将文档进行签章再加密,而收方则以相反步骤进行解密再验证即可。
- Linux下安装OpenSSL练手文档
- Linux下安装OpenSSL练手文档
- Linux下安装OpenSSL练手文档
- Linux下安装OpenSSL
- Linux下OpenSSL 安装
- Linux下OpenSSL 安装
- Linux下OpenSSL 安装
- Linux下安装Openssl
- linux下openssl 安装
- Linux下编译安装openssl
- Linux下的openssl安装
- Linux下源码安装OpenSSL
- Linux下编译安装openssl
- Linux下编译安装openssl
- Linux下安装Apache Openssl
- Linux下Openssl的安装
- Linux环境下安装Nginx+Pcre+OpenSSL
- linux下安装nginx、pcre、zlib、openssl
- Android模拟器启动后没反映
- OGNL表达式总结
- 史上最具毁灭性的20个软件Bug
- DWZ (JUI) 教程 再谈Session超时操作
- 心得5-hibernate级联之一对一单双向剖析
- Linux下安装OpenSSL练手文档
- java 获取当前系统时间 时间比较
- 银行系统初步。。
- QT连接数据库
- 心得6-hibernate级联之多对多单双向剖析
- Javascript模块化编程(三):模块化编程实战,试用SeaJS
- http://212.193.33.23/problemset/problem/154/A
- linux下ip地址的配置
- C++中模板函数的巧用
