OpenSSL的基本使用

OpenSSL的基本使用

 

一：简介

 

介绍

OpenSSL是一个开放源代码的软件库包

应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份

 

OpenSSL 是一个开源项目，其组成主要包括一下三个组件

• openssl：多用途的命令行工具
• libcrypto：加密算法库
• libssl：加密模块应用库，实现了ssl及tls

 

openssl可以实现的功能

• 秘钥证书管理
• 对称加密
• 非对称加密

 

官网

https://www.openssl.org/

 

背景

SSL是Secure Sockets Layer（安全套接层协议）的缩写，可以在Internet上提供秘密性传输

Netscape公司在推出第一个Web浏览器的同时，提出了SSL协议标准

其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持

已经成为Internet上保密通讯的工业标准

SSL能使用户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对用户进行认证

SSL协议要求建立在可靠的传输层协议(TCP)之上

SSL协议的优势在于它是与应用层协议独立无关的，高层的应用层协议(例如：HTTP，FTP，TELNET等)能透明地建立于SSL协议之上

SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作

在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性

 

二：生成密码

 

引言

在Linux系统中我们要向手动生成一个密码可以采用 opensll passwd来生成一个密码作为用户账号的密码

Linux系统中的密码存放在/etc/shadow文件中，并且是 以加密的方式存放的

根据加密方式的不同，所产生的加密后的密码的位数也不同

 

标准命令

生成密码需要使用的标准命令为 passwd，用来计算密码hash的

目的是：防止密码以明文的形式出现

 

语法格式

openssl passwd [-crypt] [-1] [-apr1] [-salt string] [-in file] [-stdin] [-noverify] [-quiet] [-table] {password}

简化：openssl passwd [option] passwd

 

常用选项

选项	释义
-1	使用
-salt	加入随机数（最多8位）
-in file	对输入的文件内容进行加密
-stdion	对标准输入的内容进行加密

 

-salt 详解

指定salt值，不使用随机产生的salt

在使用加密算法进行加密时，即使密码一样，salt不一样，所计算 出来的hash值也不一样

除非密码一样，salt值也一样， 计算出来的hash值才一样

salt为8字节的字符串

 

实例

# 用openssl生成一个随机密码
[root@localhost ~]# openssl passwd -1 -salt 'Hello World'    # 这里的'Hello World'不是密码，而是salt（盐）
Password:    # 这个才是真实的密码
$1$Hello Wo$r0sA58H9bZ8C3Z5VZRiRo1    # 这个就是随机生成的密文的密码


# 用vim打开/etc/shadow
[root@localhost ~]# vim /etc/shadow


# 按i进入：插入模式
i


# 在最后一行输入数据
nancy:$1$Hello Wo$r0sA58H9bZ8C3Z5VZRiRo1:18303::::::

三：对称加密

 

1.标准命令

对称加密需要使用的标准命令为 enc

 

2.语法格式

openssl enc -ciphername [-in filename] [-out filename] [-pass arg] [-e] [-d] [-a/-base64] [-A] [-k password] [-kfile filename] [-K key] [-iv IV] [-S salt] [-salt] [-nosalt] [-z] [-md] [-p] [-P] [-bufsize number] [-nopad] [-debug] [-none] [-engine id]

三：对称加密

 

1.标准命令

对称加密需要使用的标准命令为 enc

 

2.语法格式

openssl enc -ciphername [-in filename] [-out filename] [-pass arg] [-e] [-d] [-a/-base64] [-A] [-k password] [-kfile filename] [-K key] [-iv IV] [-S salt] [-salt] [-nosalt] [-z] [-md] [-p] [-P] [-bufsize number] [-nopad] [-debug] [-none] [-engine id]

3.常用选项

选项	释义
-in filename	指定要加密的文件存放路径
-out filename	指定加密后的文件存放路径
-salt	自动插入一个随机数作为文件内容加密，默认选项
-e	可以指明一种加密算法，若不指的话将使用默认加密算法
-d	解密，解密时也可以指定算法 若不指定则使用默认算法，但一定要与加密时的算法一致
-a/-base64	使用-base64位编码格式

 

4.实例

# 在当前文件夹下创建一个文件：1.txt 并添加内容
vim 1.txt


# 按i进入插入模式，添加内容
i

# 添加的内容
I'm 1.txt.
I'm nothing!


# 按Esc退出插入模式，:wq!强制保存并退出
Esc
:wq!


# （加密）将当前文件夹下的1.txt加密 生成 sec_1.txt
[root@localhost ~]# openssl enc -e -des3 -a -salt -in 1.txt -out sec_1.txt
enter des-ede3-cbc encryption password:
Verifying - enter des-ede3-cbc encryption password:


# 查看加密后的文件中的内容
[root@localhost ~]# cat sec_1.txt
U2FsdGVkX1+9A+DuvMme1OFHHwDhOUxDHR4gflyv5XDcjmEnDCnNIVcobMe6Bpcj


# （解密）将加密后的 sec_1.txt 解密成 dec_1.txt
[root@localhost ~]# openssl enc -d -des3 -a -salt -in sec_1.txt -out dec_1.txt
enter des-ede3-cbc decryption password:


# 查看解密后的文件：dec_1.txt 中的内容
[root@localhost ~]# cat dec_1.txt
I'm 1.txt.
I'm nothing!

四：单向加密

 

1.标准命令

单向加密需要使用的标准命令为 dgst

 

2.语法格式

openssl dgst [-md5|-md4|-md2|-sha1|-sha|-mdc2|-ripemd160|-dss1] [-c] [-d] [-hex] [-binary] [-out filename] [-sign filename] [-keyform arg] [-passin arg] [-verify filename] [-prverify filename] [-signature filename] [-hmac key] [file...]

3.常用选项

选项	释义
	指定一种加密算法
-out filename	指定加密后的文件存放路径

 

4.实例

# 用openssl的md5单向加密1.txt
[root@localhost ~]# openssl dgst -md5 1.txt
MD5(1.txt)= eff1a61fc919633c8d51457f7fe1d9ce


# 直接加密一段文本内容（用管道命令）
[root@localhost ~]# echo "我是即将被加密的内容" | openssl dgst -md5
(stdin)= ea0d34386968873c3263c6f7f57813bc

5.其他单向加密

单向加密除了openssl dgst 工具还有：

• md5sum
• sha1sum
• sha224sum
• sha256sum
• sha384sum
• sha512sum

实例

# 用 sha512sum 加密 1.txt
[root@localhost ~]# sha512sum 1.txt
23b9babe6bcbc6d04c2258597003dc414fec5b84c5511927ddf51ea7acbe1fa60239759669c962af99f5da94f2f7fa420e49f74874babba08e1e4680fa0acaf4  1.txt


# 用 sha384sum 加密 1.txt
[root@localhost ~]# sha384sum 1.txt
a9320c60649b617e7f2e920cfdb2e9eb905d446cd2e46bc144446a68accce3a0b6764564f10403da0e372fda44d4c2dd  1.txt


# 用 sha256sum 加密 1.txt
[root@localhost ~]# sha256sum 1.txt
9ba3ecd8d647084403566bfee4f4947d1c2d7f1c37c7631530ad58493f989d80  1.txt


# 用 sha1sum 加密 1.txt
[root@localhost ~]# sha1sum 1.txt
3d9fc45440e99806a47cd2adbd7579ebcef7a075  1.txt


# 用 md5sum 加密 1.txt
[root@localhost ~]# md5sum 1.txt
eff1a61fc919633c8d51457f7fe1d9ce  1.txt

五：生成随机数

 

1.标准命令

生成随机数需要用到的标准命令为 rand

 

2.语法格式

openssl rand [-out file] [-rand file(s)] [-base64] [-hex] num

3.常用选项

选项	释义
-out file	将生成的随机数保存至指定文件中
-base64	使用base64 编码格式
-hex	使用16进制编码格式
num	变成随机数的内容（只能是数字）

 

4.实例

# 使用16进制编码格式将数字：7 生成随机数（每次生成都不一样）
[root@localhost ~]# openssl rand -hex 7
53f22dab1b83af
[root@localhost ~]# openssl rand -hex 7
767c447ae16af5
[root@localhost ~]# openssl rand -hex 7
493a3e640e3f83


# 使用16进制编码格式将数字：7 生成随机数（每次生成都不一样）
[root@localhost ~]# openssl rand -base64 7
O190Q7A7cQ==
[root@localhost ~]# openssl rand -base64 7
Mh7keeAqOA==


# 使用16进制编码格式将数字：7，将生成的随机数保存到：7.txt
[root@localhost ~]# openssl rand -base64 7 -out 7.txt

六：生成秘钥对

 

1.标准命令

首先需要先使用 genrsa 标准命令生成私钥，然后再使用 rsa 标准命令从私钥中提取公钥

 

2.语法格式

genrsa的语法格式

openssl genrsa [-out filename] [-passout arg] [-des] [-des3] [-idea] [-f4] [-3] [-rand file(s)] [-engine id] [numbits]

ras的语法格式

openssl rsa [-inform PEM|NET|DER] [-outform PEM|NET|DER] [-in filename] [-passin arg] [-out filename] [-passout arg] [-sgckey] [-des] [-des3] [-idea] [-text] [-noout] [-modulus] [-check] [-pubin] [-pubout] [-engine id]

3.常用选项

genrsa的常用选项

选项	释义
-out filename	将生成的私钥保存至指定的文件中
	不同的加密算法
numbits	指定生成私钥的大小，默认是：2048

ras的常用选项

选项	释义
-in filename	指明私钥文件
-out filename	指明将提取出的公钥保存至指定文件中
-pubout	根据私钥提取出公钥

 

4.实例

一般情况下秘钥文件的权限一定要控制好，只能自己读写，因此可以使用 umask 命令设置生成的私钥权限

# 用 umask 命令设置生成的私钥权限
[root@localhost ~]# (umask 777; openssl genrsa -out 2.txt 4096)
Generating RSA private key, 4096 bit long modulus
........................................++
......................................................................................................................++
e is 65537 (0x10001)


# 将提取出的公钥保存至文件：2.pub 中
[root@localhost ~]# openssl rsa -in 2.txt -out 2.pub -pubout
writing RSA key


# 查看文件：2.pub
[root@localhost ~]# cat 2.pub
-----BEGIN PUBLIC KEY-----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-----END PUBLIC KEY-----