openssl生成证书

1.首先要生成服务器端的私钥(key文件 ): openssl genrsa -des3 -out server.key 1024 运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文 件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除输入密码的参数 -des3,但一定要采取其他的保护措施 ! 命令如下 : openssl genrsa -out server.key 1024 2.openssl req -new -key server.key -out server.csr 生成Certificate Signing Request（CSR）,生成的csr文件交给CA签名后形成服务端自己的证书.屏幕上将有提示,依照其指示一步一步输入要 求的个人信息即可. 信息如下： Country Name (2 letter code) [GB]: XX State or Province Name (full name) [Berkshire]:XX Locality Name (eg, city) [Newbury]:XX Organization Name (eg, company) [My Company Ltd]:XX Organizational Unit Name

在https学习笔记二，已经弄清了数字证书的概念,组成和在https连接过程中，客户端是如何验证服务器端的证书的。这一章，主要介绍下如何使用openssl库来创建key file，以及生成root CA及签发子证书。学习主要参考官方文档：https://www.feistyduck.com/library/openssl-cookbook/online/ch-openssl.html# 一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具，其提供了一个通用、健壮、功能完备的工具套件，用以支持SSL/TLS 协议的实现。官网： https://www.openssl.org/source/ ，其中有3个主要的用途：1、密码算法库（建立 RSA、DH、DSA key 参数，计算消息摘要，使用各种 Cipher加密/解密） 2、密钥和证书封装管理功能（建立 X.509 证书、证书签名请求(CSR)和CRLs(证书回收列表)）；3、SSL通信API接口（SSL/TLS 客户端以及服务器的测试，处理S/MIME 或者加密邮件）。 二、安装openssl（linux CentOS7 32位） 如果使用的是unix操作系统，可能安装系统的时候，这个库就已经有且存在了。但是在使用前，需要注意下当前openssl的库的版本 。 openssl version OpenSSL

首先在安装之前要明白一些基本概念 1、SSL所使用的证书可以自己生成，也可以通过一个商业性CA（如Verisign 或 Thawte）签署证书。 2、证书的概念：首先要有一个根证书，然后用根证书来签发服务器证书和客户证书，一般理解：服务器证书和客户证书是平级关系。在SSL必须安装根证书和服务器证书来认证。 因此：在此环境中，至少必须有三个证书：根证书，服务器证书，客户端证书。 在生成证书之前，一般会有一个私钥，同时用私钥生成证书请求，再利用证书服务器的根证来签发证书。 3、签发证书的问题：我最近找了很多关于openssl的资料，基本上只生成了根证书和私钥及服务器证书请求，并没有真正的实现签证。我这里参考了一些资 料，用openssl自带的一个CA.sh来签证书，而不是用MOD_ssl里的sign.sh来签。 用openssl语法来生成证书，有很多条件限定，如目录，key的位置等，比较麻烦，我实验了好几天，最后放弃了。有兴趣的可以参考一下openssl 手册。 步骤一：安装openssl和apache 1、到www.openssl.org下载openssl-0.9.7e.tar.gz(目前最新版) 2、卸载掉老的opensll库（如果卸载了出错，说找不到某些*.so.x的文件就不要卸载） 命令: #rpm –e –-nodeps openssl 3、解压： 命令: #tar xzvf

gpg gpg---OpenPGP encryption and signing tool gpg [options] [files] -c, --symmetric 仅使用对称加密 -e, --encrypt 加密数据 -d, --decrypt 解密数据 -s, --sign 制作签名 --clearsign 制作一个清晰文本签名 --verify 检查签名 -o, --output FILE 写出到文件 --gen-key 生成一个新的密钥对 -k, --list-keys 列出密钥 --export 导出密钥 --import 导入或合并密钥 -a, --armor create ascii armored（）output -r, --recipient USER-ID 为用户id加密 --delete-keys 移除公钥 --delete-secret-keys 移除私钥 来自包： rpm -q --whatprovides gpg gnupg2-2.0.14-8.el6.x86_64 包内文件： rpm -ql gnupg2 示例： 1.对称加密file 文件 在A主机上加密file gpg -c file ls file.gpg 在B主机上解密file gpg -o file -d file.gpg 2.非对称（公钥）加密file文件 在hostB 主机上用公钥加密

SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道（Secure socketlayer(SSL),SSL安全协议主要用来提供对用户和服务器的认证；对传送的数据进行加密和隐藏；确保数据在传送中不被改变，即数据的完整性，现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中，因此，仅需安装服务器证书就可以激活该功能了）。即通过它可以激活SSL协议，实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露。保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。 SSL网站不同于一般的Web站点，它使用的是“HTTPS”协议，而不是普通的“HTTP”协议。因此它的URL（统一资源定位器）格式为“https://www.baidu.com”。 什么是x509证书链 x509证书一般会用到三类文件，key，csr，crt。 Key是私用密钥，openssl格式，通常是rsa算法。 csr是证书请求文件，用于申请证书。在制作csr文件的时候，必须使用自己的私钥来签署申请，还可以设定一个密钥。 crt是CA认证后的证书文件（windows下面的csr，其实是crt），签署人用自己的key给你签署的凭证。 概念 首先要有一个CA根证书，然后用CA根证书来签发用户证书。 用户进行证书申请

要点：如果系统是内部用，可以通过openssl生成证书，只是访问的时候，浏览器会提示不信任， 1、生成证书，创建存放证书的目录/home/sslkey，并进入该目录，输入如下命令，按照提示填写相关的注册信息，完成后，会生成web.key、web.csr、web.key.org、web.crt这几个文件 openssl genrsa -des3 -out web.key 2048 openssl req -new -key web.key -out web.csr cp web.key web.key.org openssl rsa -in web.key.org -out web.key openssl x509 -req -days 365 -in web.csr -signkey web.key -out web.crt 2、配置nginx.conf，在文件的最下边，把默认注释的https配置的“#”去掉， 修改： ssl_certificate /home/sslkey/web.crt; ssl_certificate_key /home/sslkey/web.key; location / { proxy_pass http://应用服务器IP(Tomcat):端口; root html; index index.html index.htm; } 3、完成 附录： 使用

配置oracle的ssl连接 网上也没有中文资料，我硬着头皮看官方文档肯完，终于配置成功，下面是我配置步骤 配置安全套接层连接oracle 目录 1. 配置简介 1 2. 使用Wallet Manager创建Wallet和生成认证请求 2 2.1. 创建Wallet 2 2.2. 创建认证请求 2 2.3. 导出证书请求 3 2.4. 保存Wallet位置 3 2.5. 让Wallet自动登录 3 3. 使用openssl工具制作数字证书 4 3.1. 创建制作证书目录 4 3.2. 制作发行证书 4 3.3. 制作用户证书 4 4. 导入信认根证书和用户证书 5 4.1. 导入信认根证书 5 4.2. 导入用户证书 5 5. 配置使用SSL的TCP/IP连接服务端 5 5.1. 确认服务器已经生成Wallet 5 5.2. 指定监听服务Wallet存放位置 5 5.3. 创建监听使用ssl的TCP/IP协议 7 5.4. 配制数据库监听位置 8 6. 配置使用SSL的TCP/IP连接客户端 10 6.1. 确认客户端已经生成Wallet 10 6.2. 配置的Oracle网络服务名称 10 6.3. 客户端配置Wallet位置 12 7. 连接数据库 13 8. 疑难解答 13 9. Wallet管理方案 16 10. 参考文献 17 1. 配置简介

2019-2020-1 20175304 20175303 20175327 20175335 实验五 通讯协议设计 一、实验内容 通讯协议设计-1 1.在Ubuntu中完成 http://www.cnblogs.com/rocedu/p/5087623.html 中的作业 2.提交运行结果截图 通讯协议设计-2 1.在Ubuntu中实现对实验二中的“wc服务器”通过混合密码系统进行防护 2.提交测试截图 通讯协议设计-3 1 运行实验箱中，ARM调用Z32算法的实验，提交实验截图 2 用Z32的国密算法重新改写“wc服务器”的混合密码系统防护，提交运行截图 二、实验过程 通讯协议设计-1 1.OpenSSL简介 OpenSSL是一个SSL协议的开源实现，采用C语言作为开发语言，具备了跨平台的能力，支持Unix/Linux、Windows、Mac OS等多种平台。 2.OpenSSL整个软件包大概可以分成三个主要的功能部分： 密码算法库 SSL协议库 应用程序 OpenSSL源码的目录结构也是围绕这三个功能部分进行规划的。 密码算法库是一个强大完整的密码算法库，它是OpenSSL的基础部分，也是很值得一般密码安全技术人员研究的部分，它实现了目前大部分主流的密码算法和标准。主要包括对称算法、非对称算法、散列算法、数字签名和认证、X509数字证书标准、PKCS12、PKCS7等标准

学习到的内容 Linux下的应用大多可以直接使用，也可以获取源代码自己进行编译、安装，使用源代码安装的过程一般是： configure make make install gcc -o test_openssl test_openssl.c -I /usr/local/ssl/include -L /usr/local/ssl/lib -lcrypto -ldl -lpthread 上面这句表示在编译test_openssl.c时： -o test_openssl test_openssl.c： 将test_openssl.c编译生成可执行文件test_openssl(如果不给出这个选项，gcc就给出预设的可执行文件a.out) -I /usr/local/ssl/include： 将/usr/local/ssl/include目录作为第一个寻找头文件的目录，寻找的顺序是：/usr/local/ssl/include-->/usr/include-->/usr/local/include -L /usr/local/ssl/lib： 将/usr/local/ssl/lib目录作为第一个寻找库文件的目录，寻找的顺序是：/usr/local/ssl/lib-->/lib-->/usr/lib-->/usr/local/lib -L：指定链接库的文件夹地址 -ldl：加载动态库

2019-2020-12 20175313 20175327 20175329 实验五 通讯协议设计 ** 实验内容 通讯协议设计 OPENSSL ** 1.简介 OpenSSL是一个SSL协议的开源实现，采用C语言作为开发语言，具备了跨平台的能力，支持Unix/Linux、Windows、Mac OS等多种平台。 2.功能部分 OpenSSL整个软件包大概可以分成三个主要的功能部分： 密码算法库 SSL协议库 应用程序 3.作用 数据加密是信息信息传输中的一个重要组成部分。任何信息都以明文方式传输，确实是个很不安全的做法。所以，需要对数据进行加密。将明文数据转换为密文数据，再进行传输。 OpenSSL是一套用于SSL/TLS协议的加密工具，其作用有: 1. 生成私有密钥. 2. 生成证书,即数字签名证书，它包含一个公有密钥，可以用来单向的加密和解密数据。即，使用公钥加密的数据，只能使用私有密钥解密。使用私钥加密的数据，可以使用公钥来解密。 3. 计算信息摘要.。 4. SSL/TLS客户端和服务器端测试。 5. 处理S/MIME标记和邮件的加密。 ** 证书 ** 证书就是数字化的文件，里面有一个实体（网站、个人等）的公共密钥和其他的属性，如名称等。该公共密钥只属于某一个特定的实体，它的作用是防止一个实体假装成另外一个实体。证书用来保证不对称加密算法的合理性。