Ubuntu安装OpenSSL指的是什么
导读:本文共3444.5字符,通常情况下阅读需要11分钟。同时您也可以点击右侧朗读,来听本文内容。按键盘←(左) →(右) 方向键可以翻页。
摘要: 一、OpenSSL简单介绍 OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。 SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。SSL能使用户/服务器应用之间的通信不被攻击者窃听,并且始终对服务... ...
目录
(为您整理了一些要点),点击可以直达。一、OpenSSL简单介绍
OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。
SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。SSL能使用户/服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对用户进行认证。SSL协议要求建立在可靠的传输层协议(TCP)之上。
二、安装相应软件包
$sudoapt-getinstallapache2##安装Apache$sudoapt-getinstallopenssl##安装openssl$sudoapt-getinstalllibssl-dev##安装openssl开发库$sudoapt-getinstallbless##编辑器使用bless十六进制编辑器,需预先安装
三、openssl.cnf简单释义
$vi/usr/lib/ssl/openssl.cnf127[req_distinguished_name]128countryName=CountryName(2lettercode)##国家名,2个字母代码简称129countryName_default=CN##中国就是CN130countryName_min=2131countryName_max=2132133stateOrProvinceName=StateorProvinceName(fullname)##州或省的名字134stateOrProvinceName_default=beijing135136localityName=LocalityName(eg,city)##本地城市名137localityName_default=beijing1380.organizationName=OrganizationName(eg,company)##组织(公司)名1390.organizationName_default=beijingwwwcompany140145organizationalUnitName=OrganizationalUnitName(eg,section)##组织单元(部门)名146organizationalUnitName_default=www147148commonName=CommonName(e.g.serverFQDNorYOURname)##服务器域名149commonName=www.baidu.com150commonName_max=64151152#emailAddress=EmailAddress##Email地址153emailAddress=admin@baidu.com154emailAddress_max=64155156#SET-ex3=SETextensionnumber3157158[req_attributes]159#challengePassword=Achallengepassword##修改密码160challengePassword=161163challengePassword_min=4164challengePassword_max=20
四、成为数字证书认证机构(CA),并为该CA生成证书
①将openssl.cnf配置文件拷贝到当前目录下并创建以下在配置文件中指定的子文件夹
$sudoln/usr/lib/ssl/openssl.cnf.$mkdirdemoCA$cddemoCA$mkdircertscrlnewcerts$touchindex.txtserial##index.txt为空;##serial必须写入内容,且为字符串格式的数字(比如1111)
设置好这些后,现在就可以创建和发布证书了
②为自己的 CA 生成自签名证书,这意味着该机构是被信任的,而它的证书会作为 root 证书
$opensslreq-new-x509-keyoutca.key-outca.crt-configopenssl.cnf
注:务必记住自己所输入的密码,命令输出的文件存储:ca.key 与 ca.crt 中。文件 ca.key 包括 CA 的私钥,而 ca.crt 包含了公钥证书。
五、为客户生成证书
现在,我们是 root CA 了,可以为客户签数字证书了,客户是www.baidu.com。
①生成公开/私有密钥对
$opensslgenrsa-des3-outserver.key1024
注:需要提供一个密码来保护你的密钥,密钥会被保存在 server.key 文件中.
②生成证书签名请求 ,一旦公司拥有了密钥文件,它应当生成证书签名请求(CSR)。CSR 将被发送给 CA,CA 会为该请求生成证书(通常在确认 CSR 中的身份信息匹配后)。
$opensslreq-new-keyserver.key-outserver.csr-configopenssl.cnf
注:请记住自己的输入
③生成证书。CSR 文件需要拥有 CA 的签名来构成证书(在现实世界中,CSR 文件常常被发送给可信任的 CA 签名)。输入CA的密钥,使用我们自己的 CA 来生成证书:
$opensslca-inserver.csr-outserver.crt-certca.crt-keyfileca.key-configopenssl.cnf
六、在网站中使用PKI
①
$sudovi/etc/hosts127.0.0.1www.baidu.com
②启动一个拥有之前生成的证书的简单的 web 服务器
$cpserver.keyserver.pem$catserver.crt>>server.pem##将密钥和证书合并成一个文件$openssls_server-certserver.pem-www##使用server.pem启动服务器
③默认情况下,服务器会监听 4433 端口。输入https://www.baidu.com:4433
注:提示此连接不受信任是因为我们的CA是自签名的,如是VeriSign 之类的 CA 授权的话就不会出现该情况了。
在这里可以配置让火狐接受我们的自签名(其他浏览器大同小异),配置如下:
菜单—>首选项—>高级—>证书—>查看证书(证书管理器)—>导入—>进入你配置openssl的目录,选择ca.crt—>打开(下载证书)—>勾上“信任使用此CA标识的网站”—>确定,然后刷新网站
</div> <div class="zixun-tj-product adv-bottom"></div> </div> </div> <div class="prve-next-news">Ubuntu安装OpenSSL指的是什么的详细内容,希望对您有所帮助,信息来源于网络。