這篇文章將為大家詳細(xì)講解有關(guān)使用openssl怎么生成一個(gè)免費(fèi)證書,文章內(nèi)容質(zhì)量較高���,因此小編分享給大家做個(gè)參考,希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解�。
10多年的華安網(wǎng)站建設(shè)經(jīng)驗(yàn),針對(duì)設(shè)計(jì)��、前端����、開發(fā)、售后���、文案���、推廣等六對(duì)一服務(wù)���,響應(yīng)快,48小時(shí)及時(shí)工作處理�。營(yíng)銷型網(wǎng)站建設(shè)的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同,自動(dòng)調(diào)整華安建站的顯示方式����,使網(wǎng)站能夠適用不同顯示終端,在瀏覽器中調(diào)整網(wǎng)站的寬度��,無論在任何一種瀏覽器上瀏覽網(wǎng)站���,都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì)����,從而大程度地提升瀏覽體驗(yàn)��。成都創(chuàng)新互聯(lián)公司從事“華安網(wǎng)站設(shè)計(jì)”,“華安網(wǎng)站推廣”以來�����,每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行�����。
一:什么是openssl? 它的作用是��?應(yīng)用場(chǎng)景是什么�?
openssl是一個(gè)開放源代碼的軟件庫(kù)包,應(yīng)用程序可以使用這個(gè)包來進(jìn)行安全通信�,它可以避免信息被竊聽到。
SSL是Secure Sockets Layer(安全套接層協(xié)議)的縮寫��,可以在Internet上提供秘密性傳輸�����。Netscape(網(wǎng)景)公司在推出第一個(gè)Web瀏覽器的同時(shí)���,提出了SSL協(xié)議標(biāo)準(zhǔn)����。其目標(biāo)是保證兩個(gè)應(yīng)用間通信的保密性和可靠性,可在服務(wù)器端和用戶端同時(shí)實(shí)現(xiàn)支持�。
因?yàn)樵诰W(wǎng)絡(luò)傳輸?shù)倪^程中,網(wǎng)絡(luò)的數(shù)據(jù)肯定要經(jīng)過wifi路由器對(duì)吧���,那么我們通過路由器做些手腳我們就可以拿到數(shù)據(jù)���,因此openssl的作用就是避免信息被竊聽到��。
那么openssl是如何保證信息不被竊聽到呢���?因此我們需要了解 非對(duì)稱加密、數(shù)字簽名���、數(shù)字證書等一些基本概念的�。
1.1 什么是非對(duì)稱加密��?
非對(duì)稱加密是用密鑰對(duì)數(shù)據(jù)進(jìn)行加密�,然后我們可以使用另一個(gè)不同的密鑰對(duì)數(shù)據(jù)進(jìn)行解密。這兩個(gè)密鑰就是公鑰和私鑰��。
我們根據(jù)私鑰可以計(jì)算出公鑰�����,但是我們根據(jù)公鑰計(jì)算不出來私鑰的���。私鑰一般是有服務(wù)器掌握的���,公鑰則是在客戶端使用的。
注意:非對(duì)稱加密的具體算法我們這邊不做研究�。
1.2 什么是數(shù)字簽名?
根據(jù)百度百科說:數(shù)字簽名(又可以叫公鑰數(shù)字簽名)是一種類似寫在紙上的普通的物理簽名�,但是使用了公鑰加密領(lǐng)域的技術(shù)實(shí)現(xiàn),它是用于鑒別數(shù)字信息的方法�����。數(shù)字簽名有兩種互補(bǔ)的運(yùn)算���,一個(gè)是用于簽名��,另一個(gè)是用于驗(yàn)證�。
作用是:它會(huì)將報(bào)文使用一定的HASH算法算出一個(gè)固定位數(shù)的摘要信息���,然后使用私鑰將摘要加密�,然后會(huì)將剛才的報(bào)文一起發(fā)送給接收者�,接收者會(huì)通過公鑰將摘要解出來。也通過hash算法算出報(bào)文摘要���,如果兩個(gè)摘要一致���,說明數(shù)據(jù)未被篡改����,說明數(shù)據(jù)是完整的����。
1.3 什么是數(shù)字證書?
根據(jù)百度百科說:數(shù)字證書是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息一串?dāng)?shù)字�。提供了一種在Internet上驗(yàn)證通信實(shí)體身份的方式。
它是由CA頒發(fā)給網(wǎng)站的一種身份的方式��。它里面包含了該網(wǎng)站的公鑰���、有效時(shí)間��、網(wǎng)站的地址�、及 CA的數(shù)字簽名等��。
作用是:它是使用CA的私鑰將網(wǎng)站的公鑰等信息進(jìn)行了簽名�,當(dāng)客戶端請(qǐng)求服務(wù)器端的時(shí)候,網(wǎng)站會(huì)把證書發(fā)給客戶端����,客戶端先通過CA的數(shù)字簽名校驗(yàn)CA的身份����,來證明證書的真實(shí)完整性�����。
了解到上面的非對(duì)稱加密��、數(shù)字簽名��、數(shù)字證書的概念之后���,我們來看看它是如何來保證數(shù)據(jù)沒有被偽造的:
SSL 實(shí)現(xiàn)認(rèn)證用戶和服務(wù)器
現(xiàn)在我們來想一個(gè)問題,如果我們現(xiàn)在訪問我們的博客園網(wǎng)站��,我們?cè)趺粗涝L問的是真博客園還是假博客園呢�����?為了確定我們的博客園網(wǎng)站的服務(wù)器有沒有被偽造�����,在SSL中有這么一個(gè)規(guī)則:假如我們向服務(wù)器發(fā)出請(qǐng)求后,服務(wù)器必須返回它的數(shù)字證書給接收者�,當(dāng)我們拿到數(shù)字證書之后,我們可以根據(jù)里面的ca數(shù)字簽名���,來檢驗(yàn)數(shù)字證書的合法性�。假如我們現(xiàn)在能夠證明數(shù)字證書是博客園的����,但是不代表發(fā)送給我們證書的服務(wù)器就是博客園的呢?為了解決這個(gè)問題��,其實(shí)在我們拿到的證書里面會(huì)帶有博客園的公鑰���,在之后的通信中����,客戶端會(huì)使用該公鑰加密數(shù)據(jù)給博客園服務(wù)器�����,博客園服務(wù)器必須使用私鑰才能夠解出里面的數(shù)據(jù)�。只要他能夠解出數(shù)據(jù)出來,說明他是合法的���,否則的話����,是偽造的。如果是偽造的�,那么就不能通訊。因此SSL就解決了服務(wù)器認(rèn)證的問題了�����。
加密數(shù)據(jù)在通訊過程中如何防止數(shù)據(jù)不被竊取呢�����?
客戶端第一次給服務(wù)器發(fā)送請(qǐng)求的時(shí)候(拿到證書之前的那個(gè)請(qǐng)求)���,會(huì)在請(qǐng)求里面放一個(gè)隨機(jī)數(shù)(比如叫A),服務(wù)器的返回證書的響應(yīng)里也會(huì)帶一個(gè)隨機(jī)數(shù)(比如叫B)�, 客戶端拿到證書后,會(huì)使用公鑰加密一個(gè)隨機(jī)數(shù)(比如叫C)發(fā)送給服務(wù)器�����,因此客戶端��,服務(wù)器就有三個(gè)隨機(jī)數(shù):A、B����、C。雙方使用這些隨機(jī)數(shù)和一個(gè)相同的算法會(huì)生成一個(gè)密鑰��,以后所有的通信都使用這個(gè)對(duì)稱密鑰來進(jìn)行的���。
一般情況下�,這三個(gè)密鑰不可能同時(shí)被泄露的��,因?yàn)樗怯扇齻€(gè)隨機(jī)數(shù)隨機(jī)生成的�。并且其中一個(gè)隨機(jī)數(shù)使用了公鑰加密的。因此是通過這種方式來保證數(shù)據(jù)不被竊取的�����。
上面都是在網(wǎng)上看到的一些概念性問題����,簡(jiǎn)單的理解下就好了,知道是這么個(gè)概念就行了�,而我們的openssl是SSL的實(shí)現(xiàn)版。因此openssl的作用避免信息被竊取到�,它是通過上面的知識(shí)點(diǎn)來做到的�����。
openssl的應(yīng)用場(chǎng)景:
在使用http網(wǎng)站中���,我們經(jīng)常看到網(wǎng)站會(huì)有一些廣告什么的����,這些廣告其實(shí)不是網(wǎng)站自己放上去的,而是中間的運(yùn)營(yíng)商在中間篡改了內(nèi)容導(dǎo)致的?����,F(xiàn)在我們可以使用https技術(shù)(基于openssl)來對(duì)數(shù)據(jù)進(jìn)行加密的�。它能保證數(shù)據(jù)不被篡改�。
二:使用openssl生成免費(fèi)證書
1 使用openssl工具生成一個(gè)RSA私鑰
使用命令:
openssl genrsa -des3 -out server.key 2048
如上:des3 是算法,2048位強(qiáng)度(為了保密性)����。 server.key 是密鑰文件名 -out的含義是:指生成文件的路徑和名稱。
如下所示:
我們查看剛剛生成的私鑰����。使用命令如下:
openssl rsa -text -in server.key
如下圖所示:
繼續(xù)查看 server.key 使用命令:cat server.key, 如下圖所示:
2. 創(chuàng)建證書簽名請(qǐng)求CSR文件
使用命令如下:
openssl req -new -key server.key -out server.csr
-key的含義是:指定ca私鑰
-out的含義是: server.csr 生成證書文件
如下所示:
運(yùn)行如上命令后��,生成CSR時(shí)會(huì)要求填入以下信息:
Country Name (2 letter code) []:CN // 輸入國(guó)家代碼����,中國(guó)填寫 CN
State or Province Name (full name) []:HangZhou // 輸入省份���,這里填寫 HangZhou
Locality Name (eg, city) []:HangZhou // 輸入城市��,我們這里也填寫 HangZhou
Organization Name (eg, company) []:tbj // 輸入組織機(jī)構(gòu)(或公司名����,我這里隨便寫個(gè)tbj)
Organizational Unit Name (eg, section) []:tbj // 輸入機(jī)構(gòu)部門
Common Name (eg, fully qualified host name) []:*.abc.com // 輸入域名�,我這邊是 (*.abc.com)
Email Address []:tugenhua0707@qq.com // 你的郵箱地址
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:123456 // 你的證書密碼,如果不想設(shè)置密碼���,可以直接回車
如上操作后�,會(huì)在當(dāng)前目錄下生成以下兩個(gè)文件:
server.key server.csr
如下圖所示:
查看csr文件如下命令:
openssl req -text -in server.csr -noout
如下圖所示:
3. 生成CA證書
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
x509的含義: 指定格式
-in的含義: 指定請(qǐng)求文件
-signkey的含義: 自簽名
如下圖所示:
注意:如上server.crt 是證書持有人的信息�����,持有人的公鑰�����,以及簽署者的簽名等信息。
4. 生成客戶端證書
生成客戶端證書與生成CA證書相似���。
4.1. 先要生成私鑰
使用命令:
openssl genrsa -out client.key 2048
如下圖所示:
4.2 生成請(qǐng)求文件
使用命令:
openssl req -new -key client.key -out client.csr
如下圖所示:
4.3 發(fā)給ca簽名
使用命令:
openssl x509 -req -days 365 -in client.csr -signkey client.key -out client.crt
如下圖所示:
關(guān)于使用openssl怎么生成一個(gè)免費(fèi)證書就分享到這里了�,希望以上內(nèi)容可以對(duì)大家有一定的幫助���,可以學(xué)到更多知識(shí)����。如果覺得文章不錯(cuò)���,可以把它分享出去讓更多的人看到��。
分享標(biāo)題:使用openssl怎么生成一個(gè)免費(fèi)證書
本文路徑:
http://weahome.cn/article/picgoo.html
重慶分公司
重慶分公司
