隨筆-124 
評(píng)論-194 
文章-0 
trackbacks-0

          
	

          

          
	
					


          
	
	這里抄錄LDAP+OpenSSL集中認(rèn)證配置一文的一部分:
          
公私鑰:公鑰可以唯一解密私鑰加密過(guò)的數(shù)據(jù),反之亦然。以下用P指代公鑰,V指代私鑰。
          
SSL過(guò)程:需要兩對(duì)公私鑰(P1,V1),(P2,V2),假設(shè)通信雙方是A和B,B是服務(wù)器,A要確認(rèn)和它通信的是B:
          
A->B: hello
          
B->A: 用V2加密過(guò)的P1(即用戶(hù)證書(shū),A就用P2解密出P1)
          
A->B: ok
          
B->A: 用V1加密的一段信息
          
A->B: 用P1加密一個(gè)自動(dòng)生成的K(用之前的P1解密成功這段信息則認(rèn)為B是可信的了)
          
B->A: 用K加密的數(shù)據(jù)(之后兩對(duì)密鑰功能結(jié)束,由K來(lái)加解密數(shù)據(jù))
          
這里,P2就是第3方的CA證書(shū),由于非對(duì)稱(chēng)加密很慢,所以公私鑰只是用來(lái)保證K的傳送安全,之后通信是用K的對(duì)稱(chēng)加密算法來(lái)保證。
          

          
為什么通過(guò)以上過(guò)程A就能夠確定肯定是B,而不是某個(gè)C在假裝B了呢?因?yàn)檫@個(gè)過(guò)程中,B用V1加密過(guò)一段信息發(fā)給A,A也成功解開(kāi)了。我們開(kāi)頭談到公鑰(P1)只可以唯一解密私鑰(V1)加密過(guò)的信息,這樣A就可以完全相信B是擁有V1的,而V1是嚴(yán)格保密,只被服務(wù)提供公司擁有,所以保證了通信的服務(wù)方正確性。
          

          
這里(P2,V2)就是certificate authority (CA)用來(lái)給客戶(hù)簽名用的公私鑰。
          
(P1,V1)是客戶(hù)自己的公私鑰,提交給CA,CA所做的事情就是用(P2,V2)來(lái)給客戶(hù)的(P1,V1)簽名,簡(jiǎn)單吧?
          
V2是CA公司要保密的,而P2就是公用CA證書(shū)。用V2加密過(guò)(簽名過(guò))的P1,稱(chēng)為用戶(hù)證書(shū),一般被安裝在服務(wù)器端。
          

          
下面我們OpenSSL來(lái)做這一整件事情。
          

          
先生成CA的公私鑰(Root Certificate )
          
          準(zhǔn)備工作
          

          mkdir CA 
          
cd CA 
          
mkdir newcerts private 
          
echo '          01' > serial 
          
touch index.txt 
          

          
生成配置文件。由于openssl命令行參數(shù)太多,所以就用文件來(lái)組織各種選項(xiàng)。
          
其中,req_distinguished_name 節(jié)表示需要提示用戶(hù)輸入的信息。
          
v3_ca是有關(guān)CA公私鑰生成的,v3_req是有關(guān)用戶(hù)證書(shū)生成的。
          
ca_default是用CA公私鑰簽名的時(shí)候,用戶(hù)證書(shū)的默認(rèn)信息。
          

          
vi ./openssl.cnf
          

          dir = .
          

          
          [ req ] 
          
default_bits           = 1024 # Size of keys 
          
default_keyfile           = key.pem # name of generated keys 
          
default_md           = md5 # message digest algorithm 
          
string_mask           = nombstr # permitted characters 
          
distinguished_name           = req_distinguished_name 
          
req_extensions           = v3_req 
          

          
          [ req_distinguished_name ] 
          
# Variable name   Prompt string 
          
#----------------------   ---------------------------------- 
          
          0.organizationName = Organization Name (company) 
          
organizationalUnitName           = Organizational Unit Name (department, division) 
          
emailAddress           = Email Address 
          
emailAddress_max           = 40 
          
localityName           = Locality Name (city, district) 
          
stateOrProvinceName           = State or Province Name (full name) 
          
countryName           = Country Name (2 letter code) 
          
countryName_min           = 2 
          
countryName_max           = 2 
          
commonName           = Common Name (hostname, IP, or your name) 
          
commonName_max           = 64 
          

          
# Default values for the above          , for consistency and less typing. 
          
# Variable name   Value 
          
#------------------------------   ------------------------------ 
          
          0.organizationName_default = EB Company 
          
localityName_default           = Shen Zhen 
          
stateOrProvinceName_default           = Guan Dong
          
countryName_default           = CN
          

          
          [ v3_ca ] 
          
basicConstraints           = CA:TRUE 
          
subjectKeyIdentifier           = hash 
          
authorityKeyIdentifier           = keyid:always,issuer:always 
          

          
          [ v3_req ] 
          
basicConstraints           = CA:FALSE 
          
subjectKeyIdentifier           = hash 
          

          

          
          [ ca ] 
          
default_ca           = CA_default 
          

          
          [ CA_default ] 
          
serial           = $dir/serial 
          
database           = $dir/index.txt 
          
new_certs_dir           = $dir/newcerts 
          
certificate           = $dir/cacert.pem 
          
private_key           = $dir/private/cakey.pem 
          
default_days           = 365 
          
default_md           = md5 
          
preserve           = no 
          
email_in_dn           = no 
          
nameopt           = default_ca 
          
certopt           = default_ca 
          
policy           = policy_match 
          

          
          [ policy_match ] 
          
countryName           = match 
          
stateOrProvinceName           = match 
          
organizationName           = match 
          
organizationalUnitName           = optional 
          
commonName           = supplied 
          
emailAddress           = optional 
          

          

          
生成CA公私鑰:
          

          openssl req -new -x509 -extensions v3_ca -keyout private/cakey.pem -out cacert.pem -days 3650 -config ./openssl.cnf 
          

          
會(huì)提示輸入密碼,當(dāng)用它給用戶(hù)證書(shū)簽名時(shí)需要輸入,以避免其它人用它隨意產(chǎn)生用戶(hù)證書(shū)。
          
-days表示有效期,因?yàn)樗歉C書(shū),所以時(shí)間一定要很長(zhǎng),否則由它生成的用戶(hù)證書(shū)容易過(guò)期。
          

          
這時(shí)就生成了:
          
P1
          
cacert.pem
          
V1
          
private/cakey.pem
          

          
查看信息用:
          
openssl x509 -in cacert.pem -noout -text
          

          

          
生成P2,V2,即Certificate Signing Request (CSR) 
          
          執(zhí)行:
          
openssl req -new -nodes -out req.pem -config ./openssl.cnf 
          
這樣就生成了:
          
P2
          
req.pem
          
V2
          
key.pem
          

          
用此命令查看:
          
openssl req -in req.pem -text -verify -noout 
          

          

          
用CA的私鑰V1為P2簽名,即生成用戶(hù)證書(shū)
          
執(zhí)行:
          
openssl ca -out cert.pem -config ./openssl.cnf -infiles req.pem 
          
生成用戶(hù)證書(shū):
          
cert.pem
          
此時(shí),會(huì)拷貝一份到newcerts目錄下。并會(huì)更新數(shù)據(jù)庫(kù)文件:index.txt以及serail文件
          
用命令查看:
          
openssl x509 -in cert.pem -noout -text -purpose | more 
          

          
如果要去除可讀信息部分,執(zhí)行:
          
mv cert.pem tmp.pem 
          
openssl x509 -in tmp.pem -out cert.pem 
          

          

          
安裝證書(shū)
          
          key.pem(V2)和cert.pem(用V1加密過(guò)的P2)安裝到服務(wù)端
          
有的服務(wù)器需要把這兩個(gè)文件連為一個(gè),可以執(zhí)行:
          
cat key.pem cert.pem >key-cert.pem 
          

          
cacert.pem安裝到客戶(hù)端
          

          
Apache的配置:
          
File          Comment 
          
/home/httpd/html Apache DocumentRoot 
          
/home/httpd/ssl      SSL-related files 
          
/home/httpd/ssl/cert.pem Site certificate 
          
/home/httpd/ssl/key.pem Site private key 
          

          
Stunnel的配置
          
stunnel -p /etc/ssl/certs/key-cert.pem  
          

          

          
編輯于08.4.26,另有兩個(gè)例子:
          
用OpenSSL與JAVA(JSSE)通信 
          
Perl與Java的SSL通信示例 
          
          

	
          posted on 2006-12-01 15:20 我愛(ài)佳娃 閱讀(15077) 評(píng)論(14)  編輯  收藏  所屬分類(lèi): SSL 
          

          







          
	    
    


          
評(píng)論:

          
	

		
          
			
          
			# re: 用OpenSSL做自簽名的證書(shū)
				2007-04-02 20:08 | 程徐彬
          
				
          你好,能幫個(gè)忙嗎,在LINUX中怎么安裝OPENSSL。我是剛學(xué)的,請(qǐng)多多指教!那些網(wǎng)上的幫助文檔,我用過(guò)了,可是不行,你能不能幫我整理一下,實(shí)在是太感謝了!我的QQ是214296442,請(qǐng)問(wèn)你的是多少,以后向你請(qǐng)教一下!謝謝!  回復(fù)  更多評(píng)論
            
          
			
          
			
			
		
          
	
		
          
			
          
			# re: 用OpenSSL做自簽名的證書(shū)
				2007-04-03 16:36 | 我愛(ài)佳娃
          
				
          我是這樣安裝的:

          # cd openssl-0.9.7e

          # ./config shared --prefix=/usr            # Build shared library

          # make clean

          # make

          # make install

            回復(fù)  更多評(píng)論
            
          
			
          
			
			
		
          
	
		
          
			
          
			# re: 用OpenSSL做自簽名的證書(shū)
				2008-01-14 17:04 | lgc
          
				
          你好,請(qǐng)問(wèn)一下上面的openssl。cnf文件指定了下面內(nèi)容,

          [ CA_default ] 

          serial = $dir/serial 

          database = $dir/index.txt 

          

          我做java與openssl通信的時(shí),用ca證書(shū)對(duì)某個(gè)公鑰進(jìn)行簽名時(shí),提示找不到serial和index.txt。不知怎么解決,請(qǐng)指教,謝謝

            回復(fù)  更多評(píng)論
            
          
			
          
			
			
		
          
	
		
          
			
          
			# re: 用OpenSSL做自簽名的證書(shū)[未登錄](méi)
				2008-01-14 22:13 | 我愛(ài)佳娃
          
				
          $dir變量是在開(kāi)始時(shí)候賦值的呀:

          dir = .

          就是當(dāng)前目錄,這兩個(gè)文件都要自己創(chuàng)建的,我的文章里寫(xiě)得很清楚呀:

          echo '01' > serial 

          touch index.txt 

          這兩句就是創(chuàng)建文件的。

          

          我自己用這個(gè)文檔簽名過(guò)很多次了,不出任何問(wèn)題。  回復(fù)  更多評(píng)論
            
          
			
          
			
			
		
          
	
		
          
			
          
			# re: 用OpenSSL做自簽名的證書(shū)
				2008-04-23 00:53 | cici
          
				
          生成CA公私鑰:
          openssl req -new -x509 -extensions v3_ca -keyout private/cakey.pem -out cacert.pem -days 3650 -config ./openssl.cnf 
          為什么我只能生成 cacert.pem  而沒(méi)有private/cakey.pem
          謝謝!正在學(xué)習(xí)當(dāng)中?。?!謝謝  回復(fù)  更多評(píng)論
            
          
			
          
			
			
		
          
	
		
          
			
          
			# re: 用OpenSSL做自簽名的證書(shū)
				2008-04-23 02:20 | cici
          
				
          哦,生成了cakey.pem ,沒(méi)注意,呵呵
          還有個(gè)問(wèn)題請(qǐng)教:
          能解釋下最后的服務(wù)器和客戶(hù)端配置嗎?
          或者舉個(gè)代碼的例子實(shí)現(xiàn)?
          謝謝!!!?。。?!  回復(fù)  更多評(píng)論
            
          
			
          
			
			
		
          
	
		
          
			
          
			# re: 用OpenSSL做自簽名的證書(shū)
				2008-04-26 09:21 | 我愛(ài)佳娃
          
				
          嘿嘿,你沒(méi)仔細(xì)看博,我舉了代碼例子的:http://www.aygfsteel.com/alwayscy/archive/2006/12/04/85368.html  回復(fù)  更多評(píng)論
            
          
			
          
			
			
		
          
	
		
          
			
          
			# re: 用OpenSSL做自簽名的證書(shū)
				2008-04-26 09:21 | 我愛(ài)佳娃
          
				
			
          
			
			
		
          
	
		
          
			
          
			# re: 用OpenSSL做自簽名的證書(shū)
				2008-10-20 14:37 | kudiejlq
          
				
          對(duì)以下內(nèi)容的疑問(wèn):

          

          SSL過(guò)程:需要兩對(duì)公私鑰(P1,V1),(P2,V2),假設(shè)通信雙方是A和B,B是服務(wù)器,A要確認(rèn)和它通信的是B:

          A->B: hello

          B->A: 用V2加密過(guò)的P1(即用戶(hù)證書(shū),A就用P2解密出P1)

          .......

          

          第二步,即B->A這一步,感覺(jué)有些問(wèn)題。v2是CA的私鑰,如果p1是經(jīng)由v2加過(guò)密的,那么考慮一種這樣的情況:客戶(hù)瀏覽器中沒(méi)有此CA的根證書(shū),即沒(méi)有p2會(huì)怎么樣,它根本就不能解密出p1, 也無(wú)從知道是哪個(gè)ca頒布的證書(shū)。即使有該CA的根證書(shū),在不知道P1的內(nèi)容前,它怎么知道用這個(gè)P2(而不是P3或者P4)去解密出P1?所以,我認(rèn)為CA沒(méi)有加密P1,只是用V2對(duì)P1進(jìn)行的簽名。

          

          期待繼續(xù)討論:kudiejlq@126.com

          

          

            回復(fù)  更多評(píng)論
            
          
			
          
			
			
		
          
	
		
          
			
          
			# re: 用OpenSSL做自簽名的證書(shū)
				2008-10-20 14:40 | kudiejlq
          
				
          對(duì)以下內(nèi)容的疑問(wèn):

          

          SSL過(guò)程:需要兩對(duì)公私鑰(P1,V1),(P2,V2),假設(shè)通信雙方是A和B,B是服務(wù)器,A要確認(rèn)和它通信的是B:

          A->B: hello

          B->A: 用V2加密過(guò)的P1(即用戶(hù)證書(shū),A就用P2解密出P1)

          .......

          

          第二步,即B->A這一步,感覺(jué)這里有些問(wèn)題。v2是CA的私鑰,如果p1是經(jīng)由v2加過(guò)密的,那么考慮一種這樣的情況:客戶(hù)瀏覽器中沒(méi)有此CA的根證書(shū),即沒(méi)有p2會(huì)怎么樣? 它根本就不能解密出p1, 也無(wú)從知道是哪個(gè)ca頒布的證書(shū)。即使有該CA的根證書(shū),在不知道P1的內(nèi)容前,它怎么知道用這個(gè)P2(而不是P3或者P4)去解密出P1?所以,我認(rèn)為CA沒(méi)有加密P1,只是用V2對(duì)P1進(jìn)行了簽名。

          

          期待繼續(xù)討論:kudiejlq@126.com

            回復(fù)  更多評(píng)論
            
          
			
          
			
			
		
          
	
		
          
			
          
			# re: 用OpenSSL做自簽名的證書(shū)
				2008-12-11 08:45 | xingpo
          
				
          兄弟,我怎么感覺(jué)這文章看起來(lái)有些問(wèn)題!不連慣!希望兄弟查看一下  回復(fù)  更多評(píng)論
            
          
			
          
			
			
		
          
	
		
          
			
          
			# re: 用OpenSSL做自簽名的證書(shū)
				2010-08-19 09:59 | s
          
				
			
          
			
			
		
          
	
		
          
			
          
			# re: 用OpenSSL做自簽名的證書(shū)
				2010-12-24 03:16 | mf
          
				
          真的很不錯(cuò),澄清了我的一些誤解。  回復(fù)  更多評(píng)論
            
          
			
          
			
			
		
          
	
		
          
			
          
			# re: 用OpenSSL做自簽名的證書(shū)
				2013-04-16 16:58 | 張飛
          
				
          @mf
          這也做的太簡(jiǎn)陋了吧 這個(gè)評(píng)論框  回復(fù)  更多評(píng)論
            
          
			
          
			
			
		
          
	








          








          

				

          







    







          
        
	




主站蜘蛛池模板:
安庆市|
文昌市|
革吉县|
淅川县|
北海市|
禹州市|
永寿县|
巴青县|
平潭县|
易门县|
长治县|
桂东县|
九江县|
蒲江县|
华阴市|
芒康县|
武功县|
安岳县|
吴堡县|
金川县|
乐安县|
湖口县|
孙吴县|
休宁县|
屏边|
江安县|
永德县|
平邑县|
柘荣县|
岐山县|
广州市|
原平市|
美姑县|
台湾省|
噶尔县|
宣化县|
古丈县|
荣昌县|
庆城县|
深州市|
上饶市|