加密、解密、openssl的基本应用 及CA的实现过程

加密、解密技术

对称加密

 同一个钥匙可以对文件进行解密和加密。 比如PC01对file文件进行加密传输给PC02,PC用key对file文件进行加密，然后通过网络传输给了PC02,PC02可以用key对文件进行解密

常见的对称加密算法有：

 DES：使用56位的密钥，2000年的时候被人破解了，所以现在基本不再使用 AES：高级加密标准，可以使用128，129，256三种长度密钥 其它：blowfish,Twofish和RC6,IDEA(商业算法)，CAST5等

非对称加密

 需要两对秘钥，分别是公钥与私钥，她们是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。比如PC01要对file01加密传输给PC02，PC01用公钥加密file01文件，通过网路传输给PC02,PC02拿到文件后对私有私钥进行解密

常见的非对称加密算法有：

         RSA     加密和签名         DSA     签名         ElGamal  

openssl应用详解

1、安装openssl （默认已经安装）2、子命令应用   enc对称加密，des3加密方法， -in指定要加密的文件，-e表示加密，-out指定加密后要保存的位置， -salt 使加密过程更安全， -a 表示输出的结果保存为base64的文本编码格式，不指定会保存为二进制， -d 解密

用openssl实现自建CA

 1.准备两台PC 一台当服务端，一台当作客户端

服务器端

  1）生成秘钥对             #openssl genrsa -out private/cakey.pem 2048如果想查看公钥：            #openssl rsa -in private/cakey.pem -pubout -text -noout 3.生成自签证书   # openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655 4.创建需要的文件：    # touch index.txt serial crlnumber 5.做好前面四步之后，接受客户端发来的httpd.csr后，进行签署       1)CA签署证书           # openssl ca -in /path/to/somefile.csr -out /path/to/somefile.crt -days DAYS       2）发给客户端（请求者）

吊销证书：

    # openssl ca -revoke /path/to/somefile.crt 

客户端

 1)在主机上生成密钥，保存至应用此证书的服务的配置文件目录下, 例如：        # mkdir /etc/httpd/ssl        # cd /etc/httpd/ssl        # openssl genrsa -out httpd.key 1024s 2）生成证书签署请求：        # openssl req -new -key httpd.key -out httpd.csr  3）将请求文件发往CA；