SELS-SSL/TLS

news2024/11/22 13:21:52

一、了解公钥加密(非对称加密)

  非对称加密中,用于加密数据的密钥与用于解密数据的密钥不同。私钥仅所有者知晓,而公钥则可自由分发。发送方使用接收方的公钥对数据进行加密,数据仅能使用相应的私钥进行解密。

你可以将公钥想象成一把可以扣上的开着的挂锁——发送方可以将信息放入一个盒子中,并使用这把挂锁将其锁住。只有拥有这把挂锁钥匙的人才能再次取出信息并阅读。
在这里插入图片描述

二、数字签名

  除了加密和解密数据外,公钥和私钥还可以用于对数据进行数字签名。当对数据进行签名时,会从数据中生成一个加密校验和。然后,发送者使用自己的私钥对校验和进行签名(加密)。

接收者也使用与发送者相同的算法,从接收到的消息中生成一个加密校验和。接着,他使用发送者的公钥对随消息发送的加密校验和进行解密。如果他自己计算的校验和与解密后的校验和相匹配,接收者就可以确定消息未被篡改,并且是由拥有该私钥的人发送的。
在这里插入图片描述

三、角色CA

  上面描述的加密过程效果很好,但它存在一个弱点。你如何验证公钥的拥有者是谁呢?换句话说,你如何确保发送方真的是他们所声称的那个人?

解决这个问题的常见方法是使用一个证书颁发机构(CA)作为受信任的第三方,用其自己的私钥对公钥进行签名。由CA签名的公钥也被称为证书。你可以自己设立CA,或者使用第三方的CA。知名的第三方CA包括VeriSign和VISA等组织。这些组织的公钥会自动安装到大多数流行的Web浏览器中。通过用CA的公钥验证签名,浏览器可以验证来自Web服务器的公钥是有效的。

  • 由证书颁发机构(CA)签名的公钥也被称为证书。
  • 在SSL/TLS加密中,CA的使用方式如下:
    • 浏览器识别以https://开头的网络地址。
    • 网页浏览器向服务器请求由CA签名的服务器的公钥。
    • 网页服务器将公钥发送给网页浏览器。
    • 网页浏览器使用签发该公钥的CA的公钥来验证服务器的公钥。
    • 如果公钥有效,网页浏览器和网页服务器将建立一个安全连接。
      这样,通过CA签名的公钥(即证书),浏览器能够验证服务器的身份,并确保与服务器之间的通信是安全的。

四、对称加密

  对称加密(Symmetrical Encryption),又称为单密钥加密或私钥加密,是密码学中的一类加密算法。以下是关于对称加密的详细解释:

  • 定义与工作原理
    • 定义:采用单钥密码系统的加密方法,即同一个密钥可以同时用作信息的加密和解密。
    • 工作原理:在加密过程中,将明文(原始数据)划分为固定长度的块,然后通过密钥和加密算法将这些块转换成对应的密文块。在解密过程中,通过相同的密钥和解密算法,将密文块还原为明文块。
  • 密钥管理
      对称加密中使用的密钥只有一个,因此发收信双方都使用这个密钥对数据进行加密和解密。
    密钥的保密性至关重要,因为一旦密钥被泄露,加密的数据就可能被轻易解密。
  • 常见算法
      常见的对称加密算法有AES、SM4、ChaCha20、3DES、Salsa20、DES、Blowfish、IDEA、RC5、RC6、Camellia等。
      目前国际主流的对称加密算法是AES,而国内主推的则是国标的SM4。
  • 应用场景
    • 数据库加密:用于数据库中敏感数据的加密,如个人信息、银行账户信息等。
    • 文件加密:用于对文档、图片、视频等文件进行加密保护。
    • 网络通信:用于保护网络通信中的数据传输,如HTTPS、SSL/TLS等协议。
    • 移动设备安全:用于保护移动设备中存储的敏感数据,如手机通讯录、短信、照片等。
  • 特性与优势
    • 加密解密速度快:由于使用相同的密钥进行加密和解密,对称加密通常比非对称加密更快。
      资源消耗少:在处理大量数据时,对称加密的资源消耗相对较少。
    • 适用于大量数据加密:由于速度快和资源消耗少的特点,对称加密非常适合用于大量数据的加密场景。
      然而,对称加密在密钥管理方面存在一定的难题。由于双方都需要知道相同的密钥才能进行加密和解密,因此如何安全地分发和存储密钥成为了一个重要的问题。此外,如果密钥丢失或泄露,加密的数据将不再安全。

综上所述,对称加密是一种高效且广泛应用的加密算法,在保护数据机密性方面发挥着重要作用。然而,在使用对称加密时,需要特别注意密钥的安全管理和分发问题。

五、ssl/tls握手

  结合非对称加密、签名和对称加密等安全手段来看一下ssl/tls的握手过程中的应用。
在这里插入图片描述

六、openssl工具的使用

  • openssl工具介绍
    • 名称
      openssl - OpenSSL 命令行工具
    • 描述
      OpenSSL 是一个加密工具包,实现了安全套接层(SSL v2/v3)和传输层安全(TLS v1)网络协议,以及这些协议所需的相关加密标准。
      openssl 程序是一个命令行工具,用于从 shell 中使用 OpenSSL 加密库的各种加密功能。它可以用于:
      • 创建和管理私钥、公钥及参数
      • 公钥加密操作
      • 创建 X.509 证书、证书签名请求(CSR)和证书吊销列表(CRL)
      • 计算消息摘要
      • 使用加密算法进行加密和解密
      • SSL/TLS 客户端和服务器测试
      • 处理 S/MIME 签名或加密邮件
      • 时间戳请求、生成和验证
    • 三种用法
      • openssl 命令 [命令选项] [命令参数]
        • 这种用法是openssl工具的主要功能,在描述部分阐述。
        • openssl 程序提供了丰富的命令,每个命令通常都有大量的选项和参数。
          如下,是openssl工具下所有的命令,共三种:标准命令,摘要命令和加密命令。
          在这里插入图片描述
          可以通过以下方法查看所有的命令:
          在这里插入图片描述
          关于选项,拿ca命令来说,如下图
          在这里插入图片描述
          如何查看命令的所有选项及选项说明?
          在这里插入图片描述
        • 许多命令使用外部配置文件来指定其部分或全部参数,并有一个 -config 选项来指定该文件。可以使用环境变量 OPENSSL_CONF 来指定文件的位置。如果未指定环境变量,则在openssl配置文件/etc/ssl/openssl.cnf的默认的证书存储区域中来定义,该区域的值取决于构建 OpenSSL 时指定的配置标志,可修改为自定义的常用值。
      • openssl list [标准命令 | 摘要命令 | 加密命令 | 加密算法 | 摘要算法 | 公钥算法]
        • 这种用法是用来查询各种命令的。

        • list 参数中的 standard-commands、digest-commands 和 cipher-commands 分别输出当前 openssl 工具中可用的所有标准命令、消息摘要命令或加密命令的名称列表(每行一个条目)。
          用法如下:
          在这里插入图片描述
          列出所有的标准命令:
          在这里插入图片描述

        • list 参数中的 cipher-algorithms 和 digest-algorithms 列出所有加密算法和消息摘要名称,每行一个条目。别名以“from => to”的形式列出。

        • list 参数中的 public-key-algorithms 列出所有支持的公钥算法。

      • openssl no-XXX [任意选项]
        • 该用法用于测试命令。
        • no-XXX 命令用于测试指定名称的命令是否可用。如果不存在名为 XXX 的命令,则返回 0(成功)并打印 no-XXX;否则返回 1 并打印 XXX。在这两种情况下,输出都发送到标准输出,并且不向标准错误打印任何内容。始终忽略附加的命令行参数。由于每种加密算法都有一个同名的命令,这为 shell 脚本提供了一种简单的方法来测试 openssl 程序中加密算法的可用性。(no-XXX 无法检测诸如 quit、list 或 no-XXX 本身之类的伪命令。)
        • 例如:
          在这里插入图片描述
  • 示例:
    所以,看完以上介绍,下面的命令如何理解?
openssl req -new -x509  -keyout demoCA/private/cakey.pem  -out demoCA/cacert.pem  -days 3652  -newkey  rsa:4096

openssl:使用openssl工具

req:命令,man req查询,req 命令主要用于创建和处理 PKCS#10 格式的证书请求。此外,它还可以创建自签名证书,例如 用作根证书颁发机构 (CA)。

-new: 命令的第一个参数,man req查询,此选项用于生成新的证书请求。它会提示用户输入相关字段的值。实际提示的字段及其最大和最小尺寸在配置文件中指定,并且包括任何请求的扩展项。如果未使用 -key 选项,它将使用配置文件中指定的信息生成新的 RSA 私钥。

-x509:命令的第二个参数,man req查询,此选项输出自签名证书,而不是证书请求。这通常用于生成测试证书或自签名根证书颁发机构 (CA)。添加到证书中的扩展项(如果有的话)在配置文件中指定。除非使用 set_serial 选项指定,否则将使用一个大随机数作为序列号。如果通过 -in 选项指定了现有的请求,那么该请求将被转换为自签名证书;否则,将创建新的请求。

-keyout:命令的第三个参数,man req查询,此选项指定新创建的私钥要写入的文件名。如果未指定此选项,则使用配置文件中存在的文件名。

-out:命令的第四个参数,man req查询,这指定了要写入的输出文件的名称,或者默认情况下写入标准输出。

-days:命令的第五个参数,man req查询,当使用 -x509 选项时,这指定了证书的认证天数。默认值为30天。

-newkey:此选项用于创建新的证书请求和新的私钥。其参数可以采用多种形式:
  rsa:nbits,其中nbits表示位数,用于生成指定大小的RSA密钥。如果省略nbits(即仅指定-newkey rsa),则使用配置文件中指定的默认密钥大小。如本例: rsa:4096
  对于所有其他算法,支持-newkey alg:file形式,其中file可以是算法参数文件(由genpkey -genparam命令生成)或具有相应算法的密钥的X.509证书。
  param:file使用参数文件或证书文件生成密钥,算法由参数确定。
  algname:file使用算法algname和参数文件file:两者必须匹配,否则会出现错误。
  algname仅使用算法algname,如有必要,应通过-pkeyopt参数指定参数。
  dsa:filename使用文件filename中的参数生成DSA密钥。
  ec:filename生成EC密钥(可用于ECDSA或ECDH算法)。
  gost2001:filename生成GOST R 34.10-2001密钥(需要在配置文件中配置ccgost引擎)。如果仅指定gost2001,则应通过-pkeyopt paramset:X指定参数集。

总结: 这就是创建一个自定义的ca根证书,使用这个命令前,先查看或者配置好openssl.cnf文件中的下图配置,或者按照配置文件中的要求,在指定位置创建好目录。
在这里插入图片描述
说了这么多,理解了就可以了。记住以上命令,用的时候直接拷贝一份执行即可,如有不同需求,修改对应参数即可。

七、常用创建自签名证书过程

  • 创建配置文件中指定的目录。例如:
mkdir  -p   /root/demoCA/certs
cd   /root/demoCA/
mkdir crl newcerts requests private
chmod 700 private
cd
  • 创建自定义CA根证书:
openssl req  -new -x509 -keyout demoCA/private/cakey.pem  -out   demoCA/cacert.pem  -days 3652  -newkey  rsa:4096

在这里插入图片描述

  • 创建服务器请求签名:
openssl req -new -keyout demoCA/private/server_key.pem  -out  demoCA/requests/server_req.pem  -newkey rsa:2048

在这里插入图片描述

  • 创建openssl所需的index.txt和序列文件,以跟踪已签署的证书:
touch demoCA/index.txt
 echo 01 > demoCA/serial
  • 创建服务器证书:
openssl ca -policy policy_anything -days 365  -out demoCA/certs/server_crt.pem -infiles demoCA/requests/server_req.pem

在这里插入图片描述

  • 验证:
    • 创建vsftp服务,并配置好证书和私钥的位置并打开ssl开关,其他vsftp配置本处不记录,示例如下:
      在这里插入图片描述
    • 使用如下命令将服务器私钥转换成无密码保护的私钥。
    openssl rsa -in /etc/vsftpd/certs/server_key.pem -out /etc/vsftpd/certs/server_key2.pem 
    
    • 重启vsftpd
      在这里插入图片描述

    • 结果
      在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2231267.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Kubernetes中的secrets存储

华子目录 2.secrets2.1secrets功能介绍2.2secrets的创建2.2.1从文件创建2.2.2编写yaml文件 2.3secret的使用案例2.3.1将secret挂载到volume中2.3.2设置子目录映射secret密钥2.3.3将secret设置为环境变量2.3.4存储docker register的认证信息spec.imagePullSecrets[] 2.secrets …

软件设计师笔记-数据结构

数据结构 数据元素的集合及元素间的相互关系和构造方法。 线性表的存储结构 顺序存储链式存储 单链表节点 typedef struct node { int data; struct node *link; }NODE, *LinkList; 双向链表 每个节点有两个指针,分别指出直接前驱和直接后继。 循环链表 尾…

「Mac畅玩鸿蒙与硬件22」鸿蒙UI组件篇12 - Canvas 组件的动态进阶应用

在鸿蒙应用中,Canvas 组件可以实现丰富的动态效果,适合用于动画和实时更新的场景。本篇将介绍如何在 Canvas 中实现动画循环、动态进度条、旋转和缩放动画,以及性能优化策略。 关键词 Canvas 组件动态绘制动画效果动态进度条旋转和缩放性能优化一、使用定时器实现动画循环 …

通俗易懂的理解递归 回溯 DFS

文章目录 递归概念递归例子1:递归打印链表递归例子2:求n数之和 回溯概念回溯例子1:组合问题 DFS概念DFS例子1:不同路径DFS例子2:岛屿数量总结 递归 概念 “方法自己调用自己,每一次调用都会更加接近递归的…

【AD】1-7 AD24软件扩展插件的设置与安装

1.如图所示打开扩展 2.点击齿轮后,确保离线安装位置关联了软件安装包的路径位置后,进行勾选选择后,点击应用即可安装。 注意:如果位置关联错误,则显示如图

Window on ARM解锁所有的TTS语音包供python调用

Window on ARM解锁所有的TTS语音包供python调用 可用的语音包查看查看TTS可用的语音包解锁语音包设置升级系统打开注册表导出注册表修改注册表导入新的注册表可用的语音包查看 微软的Windows 10操作系统为设备上安装的每种语言提供了一套语音。但只有部分已安装的语音能在整个…

pandas数据处理高级系列003---什么是交叉表(Cross Tabulation)以及pandas如何生成

做ab测试的时候遇到了一个新的知识点,交叉表以及如何用pandas生成交叉表 交叉表(Cross Tabulation),也称为列联表(Contingency Table),是一种用于统计分析的表格,用于显示两个或多个…

MySQL数据库之存储过程的创建与应用

存储过程 procedure 一.存储过程 作用:将经常使用的功能写成存储过程,方便后续重复使用。 二.创建存储过程 三.调用存储过程 call在计算机中是调用的意思 案例1:查看MySQL用户数 如上图所示,这是查看MySQL数据库中的user个数…

手搓简易shell

1.打印命令行 &#xff0c;接受命令行输入 命令行就是&#xff0c;“[用户名主机名 当前目录]$"获取这些信息都存储在Linux内核中的环境变量中&#xff0c;用getenv()函数取出 #include <stdio.h>2 #include <stdlib.h>3 #include <string.h>4 #include…

多个JDK版本之间的切换

首先电脑上可以同时安装多个版本的 JDK&#xff08;Java Development Kit),因为不同的应用程序可能需要不同 Java 版本的支持,安装多个 JDK 版本并不会导致冲突&#xff0c;只要设置好即可,在不同的情况下切换不同的jdk版本保证程序正常工作 很多程序jdk8 已经不支持,所以下载…

鸿蒙生态下开发挑战-鸿蒙低代码开发工具展望及优势

鸿蒙生态下开发挑战 在鸿蒙生态下开发时&#xff0c;开发者可能会遇到多方面的挑战&#xff0c;这些挑战主要涉及开发工具、技术难度、生态竞争以及市场定位等方面。以下是对这些挑战的详细分析&#xff1a; 一、开发工具不完善 尽管鸿蒙系统的开发工具DevEco Studio在逐步完…

celery在django项目中实现并发任务和定时任务

创建一个django项目 django-admin startproject celeryDemo进入项目目录 cd celeryDemo在你的 Django 项目中&#xff0c;创建一个 celery_.py 文件&#xff0c;通常放在项目的根目录&#xff08;与 settings.py 同级&#xff09;&#xff1a; from __future__ import absol…

ST算法解RMQ问题

题目 代码 #include <bits/stdc.h> using namespace std; const int N 2e510, M 20; int st[N][M]; int n, m; int main() {ios::sync_with_stdio(0);cin.tie(0);cin >> n;for(int i 1; i < n; i)cin >> st[i][0];for(int i 1; (1 << i) < …

国内版Sketchfab平台 - CG美术之家(3D编辑发布篇)

CG美术之家为您提供了一个简便的模型上传流程&#xff0c;让发布您的3D模型变得轻而易举。只需准备好通用的3D模型格式&#xff0c;如OBJ、FBX或STL&#xff0c;您就可以轻松上传并分享您的创作。我们的平台支持在线3D渲染&#xff0c;您只需花费不到一分钟的时间&#xff0c;就…

Rocky Linux 9安装后无法远程ssh密码登录解决

在Rocky Linux 9版本中&#xff0c;为了增加安全性&#xff0c;默认情况下禁用SSH root密码登录。这是系统默认设定的规则&#xff0c;我们同样也可以更改它。   允许Rocky Linux 9 root用户通过ssh登录方法&#xff1a; 1.编辑SSH配置文件 2.找到以下内容 PermitRootLogin …

C语言教程——操作符详解(1)

目录 前言 1.操作符的分类&#xff1a; 2.算数操作符 2.1除法 2.2取模 3.移位操作符 3.1二进制相关知识 3.2左移操作符 3.2.1正数 3.2.2负数 3.2.3结论 3.3右移操作符 4.位操作符 4.1 按位与 4.2按位或 4.3按位异或 ​编辑 5.赋值操作符 6.复合赋值符 7.单目操…

mfc140u.dll丢失怎么办? mfc140u.dll文件缺失的修复技巧

mfc140u.dll 是 Microsoft Foundation Classes (MFC) 库的一部分&#xff0c;它是 Visual Studio 2015 的组件之一&#xff0c;主要服务于使用 C 编写的 Windows 应用程序。这个动态链接库文件包含了 MFC 14.0 Unicode 版本的实现代码&#xff0c;为应用程序提供运行时支持。当…

Golang | Leetcode Golang题解之第520题检测大写字母

题目&#xff1a; 题解&#xff1a; func detectCapitalUse(word string) bool {// 若第 1 个字母为小写&#xff0c;则需额外判断第 2 个字母是否为小写if len(word) > 2 && unicode.IsLower(rune(word[0])) && unicode.IsUpper(rune(word[1])) {return f…

专题九——哈希表

目录 0简介 1两数之和 2判定是否互为字符重排 3存在重复元素 4存在重复元素 II 5字母异位词分组 0简介 1两数之和 oj链接&#xff1a;两数之和 解法1 class Solution { public:vector<int> twoSum(vector<int>& nums, int target) {int nnums.size()…