`
oywl2008
  • 浏览: 1053382 次
  • 性别: Icon_minigender_1
  • 来自: 广州
社区版块
存档分类
最新评论

Open SSL

 
阅读更多

 公司一个项目要进行交易数据传输,因为这个项目银行那边也是刚刚开始启动,所有的支持只有一个传输字段的说明文档,好吧,总的有人做事不是嘛,于是接口开发正式展开,第一步的难点就是加密解密,我选择使用OpenSSL.

OpenSSL初接触的人恐怕最难的在于先理解各种概念

  公钥/私钥/签名/验证签名/加密/解密/非对称加密

  我们一般的加密是用一个密码加密文件,然后解密也用同样的密码.这很好理解,这个是对称加密.而有些加密时,加密用的一个密码,而解密用另外一组密码,这个叫非对称加密,意思就是加密解密的密码不一样.初次接触的人恐怕无论如何都理解不了.其实这是数学上的一个素数积求因子的原理的应用,如果你一定要搞懂,百度有大把大把的资料可以看,其结果就是用这一组密钥中的一个来加密数据,可以用另一个解开.是的没错,公钥和私钥都可以用来加密数据,相反用另一个解开,公钥加密数据,然后私钥解密的情况被称为加密解密,私钥加密数据,公钥解密一般被称为签名和验证签名.

  因为公钥加密的数据只有它相对应的私钥可以解开,所以你可以把公钥给人和人,让他加密他想要传送给你的数据,这个数据只有到了有私钥的你这里,才可以解开成有用的数据,其他人就是得到了,也看懂内容.同理,如果你用你的私钥对数据进行签名,那这个数据就只有配对的公钥可以解开,有这个私钥的只有你,所以如果配对的公钥解开了数据,就说明这数据是你发的,相反,则不是.这个被称为签名.

  实际应用中,一般都是和对方交换公钥,然后你要发给对方的数据,用他的公钥加密,他得到后用他的私钥解密,他要发给你的数据,用你的公钥加密,你得到后用你的私钥解密,这样最大程度保证了安全性.

  RSA/DSA/SHA/MD5

  非对称加密的算法有很多,比较著名的有RSA/DSA ,不同的是RSA可以用于加/解密,也可以用于签名验签,DSA则只能用于签名.至于SHA则是一种和md5相同的算法,它不是用于加密解密或者签名的,它被称为摘要算法.就是通过一种算法,依据数据内容生成一种固定长度的摘要,这串摘要值与原数据存在对应关系,就是原数据会生成这个摘要,但是,这个摘要是不能还原成原数据的,嗯....,正常情况下是这样的,这个算法起的作用就是,如果你把原数据修改一点点,那么生成的摘要都会不同,传输过程中把原数据给你再给你一个摘要,你把得到的原数据同样做一次摘要算法,与给你的摘要相比较就可以知道这个数据有没有在传输过程中被修改了.

  实际应用过程中,因为需要加密的数据可能会很大,进行加密费时费力,所以一般都会把原数据先进行摘要,然后对这个摘要值进行加密,将原数据的明文和加密后的摘要值一起传给你.这样你解开加密后的摘要值,再和你得到的数据进行的摘要值对应一下就可以知道数据有没有被修改了,而且,因为私钥只有你有,只有你能解密摘要值,所以别人就算把原数据做了修改,然后生成一个假的摘要给你也是不行的,你这边用密钥也根本解不开.

   CA/PEM/DER/X509/PKCS

  一般的公钥不会用明文传输给别人的,正常情况下都会生成一个文件,这个文件就是公钥文件,然后这个文件可以交给其他人用于加密,但是传输过程中如果有人恶意破坏,将你的公钥换成了他的公钥,然后得到公钥的一方加密数据,不是他就可以用他自己的密钥解密看到数据了吗,为了解决这个问题,需要一个公证方来做这个事,任何人都可以找它来确认公钥是谁发的.这就是CA,CA确认公钥的原理也很简单,它将它自己的公钥发布给所有人,然后一个想要发布自己公钥的人可以将自己的公钥和一些身份信息发给CA,CA用自己的密钥进行加密,这里也可以称为签名.然后这个包含了你的公钥和你的信息的文件就可以称为证书文件了.这样一来所有得到一些公钥文件的人,通过CA的公钥解密了文件,如果正常解密那么机密后里面的信息一定是真的,因为加密方只可能是CA,其他人没它的密钥啊.这样你解开公钥文件,看看里面的信息就知道这个是不是那个你需要用来加密的公钥了.

  实际应用中,一般人都不会找CA去签名,因为那是收钱的,所以可以自己做一个自签名的证书文件,就是自己生成一对密钥,然后再用自己生成的另外一对密钥对这对密钥进行签名,这个只用于真正需要签名证书的人,普通的加密解密数据,直接用公钥和私钥来做就可以了.

  密钥文件的格式用OpenSSL生成的就只有PEM和DER两种格式,PEM的是将密钥用base64编码表示出来的,直接打开你能看到一串的英文字母,DER格式是二进制的密钥文件,直接打开,你可以看到........你什么也看不懂!.X509是通用的证书文件格式定义.pkcs的一系列标准是指定的存放密钥的文件标准,你只要知道PEM DER X509 PKCS这几种格式是可以互相转化的.

OpenSSL使用

  PHP的OpenSSL模块要加载上很容易,百度一下,按着做就可以,但是这里面其实有很多问题,首先一点就是windows环境的问题,OpenSSL开发是以linux环境为基础的,现在开发者的windows下lamp集成环境会出现很多错误,如果你去OpenSSL官网可以看到它提供了专门的windows环境OpenSSL安装包.遗憾的是,没有提供给你PHP调用的解决办法,所以转了一圈我们又回到PHP自带的php_openssl.dll下了,你会发现在生成证书,提取公钥等等地方都会出现错误.我的解决办法是,在Apache的bin目录下用命令行来生成各种证书密钥,在PHP中只需要提取密钥做验证工作或者加密工作就可以了,密钥你只生成一次嘛,那个项目也不会需要你不停的变密钥对是吧.但是你要注意的是即使在Apache下使用命令行,你也需要一个特殊的openssl.cnf,这个可以用于windows环境,你可以百度一下,做了这些工作以后,你可以跟着我来生成各种密钥了,假设你在apache/bin目录下,所需要的exr,cnf,dll文件都拷贝到这个目录下了,然后你打开dos命令行,进入这个目录,做以下工作:

  

生成rsa密钥
openssl genrsa -des3 -out prikey.pem
去除掉密钥文件保护密码
openssl rsa -in prikey.pem -out prikey.pem
分离出公钥
openssl rsa -in prikey.pem -pubout -out pubkey.pem(获取证书中的公钥 openssl req -in myreq.pem  -out -pubkey.pem)
对文件进行签名
open rsautl -sign -inkey prikey.pem -in a.txt -out sig.dat
验证签名
openssl rsautl -verify -inkey prikey.pem -in sig.dat
用公钥对文件加密
openssl rsautl -encrypt -pubin -inkey pubkey.pem -in a.text -out b.text
用私钥解密
openssl rsautl -decrypt -inkey prikey.pem -in b.text
用证书中的公钥加密
opensll rsautl -encrypt -certin -inkey cert1.pem -in a.txt
 
或者
 
 
生成一个没有加密的ca私钥
openssl genrsa -out ca.key.pem 1024
生成ca对应的csr文件
openssl req -new -key ca.key.pem -out ca.csr
自签名
openssl x509 -in ca.csr -out ca.cer -req -signkey ca.key.pem -days 7300 -extensions v3_ca
生成DER格式的私钥
openssl pkcs8 -topk8 -inform PEM -outform DER -in ca.key.pem -out ca.private.der -nocrypt
读取证书的内容,显示在屏幕上
openssl x509 -in server.cer -noout -subject  -nameopt RFC2253
将der格式的证书转成pem格式
openssl  x509  -inform PEM  -outform DER -in server.der -out server.pem

 如果那个命令提示你需要config文件,你在命令行的最后添加-config C:\wamp\bin\apache\apache2.2.8\conf\openssl.cnf,路径是你openssl.cnf的路径,根据你的cnf在哪里放设置.

 

http://www.cnblogs.com/phpinfo/archive/2013/08/09/3246376.html

 

http://wenku.baidu.com/link?url=pz-RWnyhY1IkcGPSK8vYpGeMw2snqTZndssSZFCla2v-uQ8QKVKPp76PLtoROHofW2LXZXkA43Fx4ayFx4HeBqIqXCMajWJak4c1qnkou2W

 

 

分享到:
评论

相关推荐

    OPEN SSL学习资料汇总

    - **SSL/TLS 协议**:SSL(Secure Socket Layer)和 TLS(Transport Layer Security)是用于在互联网上提供安全通信的协议,它们确保数据在传输过程中不被窃取或篡改。OpenSSL 提供了 SSL/TLS 协议的实现。 - **...

    OPEN SSL 的 RSA 使用例子

    **OPEN SSL 中 RSA 加密算法详解** RSA(Rivest-Shamir-Adleman)是一种非对称加密算法,广泛应用于网络安全领域,包括数据加密、数字签名等。OPEN SSL 是一个开源的加密库,提供了丰富的加密算法实现,其中包括 ...

    open ssl动态库32位跟64位

    OpenSSL 是一个强大的安全套接层 (SSL) 和传输层安全 (TLS) 库,用于加密通信,确保网络上的数据传输安全。它包含了各种加密算法、常用的密钥和证书处理功能,以及SSL/TLS协议的实现。在Windows环境中,OpenSSL有32...

    open SSL 1.1.1稳定版本

    open SSL 1.1.1稳定版本

    VS2010编译的Open SSL 64位静态库和相关的头文件等

    标题 "VS2010编译的Open SSL 64位静态库和相关的头文件等" 提示我们,这是一个使用 Microsoft Visual Studio 2010 编译的适用于64位操作系统的OpenSSL库。VS2010是微软的一个集成开发环境(IDE),支持C++编程,提供...

    openssl.zip open ssl zip编译好的文件

    当你提到“openssl.zip open ssl zip编译好的文件”,这通常指的是一个包含了预编译版 OpenSSL 库的压缩文件。这个压缩包可能是为了方便用户在不同的操作系统或环境中快速使用 OpenSSL 而准备的。 在本文中,我们将...

    Open SSl 1.1

    已经编译好的OPENSSL 1.1最新官方库,WIN32平台使用,可直接添加的VC2013使用,添加方式加入头文件和库文件:#include #include ...本人正在使用的VC SSL版本,可以正常连接到加密传输TLS1.2的服务器上。

    Open SSL 常用函数

    OpenSSL 是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现库,同时也包含了一系列加密、哈希和认证算法。它在互联网安全领域广泛应用,为开发者提供了实现安全通信的基础。以下是一些OpenSSL中常用的函数...

    open ssl x86

    标题“open ssl x86”暗示我们关注的是32位版本的OpenSSL库,这在Windows系统上用于32位应用程序的开发和运行。OpenSSL x86版本适用于那些需要进行加密和安全通信功能的软件,例如Web服务器、客户端应用或者任何需要...

    ssl blood 心脏出血

    **原理:** Open SSL的心跳功能是为了保持TCP连接活跃而设计的一种机制,但Heartbleed漏洞的存在使得攻击者能够发送异常的心跳包,从而读取服务器内存中的数据,包括但不限于私钥、用户口令、密码、电子邮件信息、...

    libcurl 库, 支持 gzip 和 Open SSL (VS2013 编译版本)

    这是由 VS 2013 编译的 libcurl 库, 含有 lib 和 dll 和 .h 头文件可直接使用, 版本为: libcurl/7.46.0 OpenSSL/1.0.2e zlib/1.2.8 另外 gzip 库和 OPen SSL 库都可以单独使用. 附加 libcurl 调用实例一个!

    open ssl 0.9.6.rar

    OpenSSL 是一个强大的安全套接层 (SSL) 和传输层安全 (TLS) 库,用于加密通信,确保网络数据传输的安全性。它包含了各种加密算法、常用的密钥和证书操作,以及用于实现SSL/TLS协议的函数。在您的场景中,您提到的是...

    openssl.7z open ssl 7z 压缩包 源码

    OpenSSL 是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现库,同时也包含各种加密算法、证书工具和其他相关功能。这个“openssl.7z”压缩包包含了OpenSSL的源代码,这对于开发者来说是极其重要的资源,...

    open ssl demo example (证书自带)

    OpenSSL 是一个强大的安全套接层 (SSL) 和传输层安全 (TLS) 库,用于实现网络通信的安全加密。这个库不仅包含了各种加密算法,还包括了证书管理、密钥生成和证书签名等功能。"OpenSSL demo example(证书自带)" 是...

    apatch-no-and-open-ssl

    标题中的"apatch-no-and-open-ssl"似乎指的是一个针对Apache HTTP服务器的补丁程序,它包含了两个版本:普通的Apache HTTP服务器(apatch)和带有OpenSSL支持的版本。OpenSSL是一个开源的库,主要用于实现安全套接层...

    [Open SSL[原]]获得文件信息摘要

    OpenSSL是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现,同时也包含了一些用于加密、解密、生成摘要以及数字签名的工具。 在OpenSSL中,通常使用`openssl`命令行工具来计算文件的哈希值,常见的哈希...

    rsa.rar_RSA算法_open ssl rsa_rsa ssl_rsa_sign c_rsades

    RSA算法是一种非对称加密算法,由Ron Rivest、Adi Shamir和Leonard Adleman在1977年提出,是目前最广泛使用的公钥加密技术之一。该算法基于大整数因子分解的困难性,即找到两个大素数的乘积很容易,但将这个乘积分解...

    ca.rar_CA_open ssl_openssl apps.h

    本软件包将每个openssl的apps程序做成一个可直接运行调试的VC Console 类型应用程序,方便研究和运用openssl的朋友,避免了openssl在windows下的编译问题,并且因为可以在VC环境下进行调试,使得对openssl的各个应用...

    open ssl 1.0.2

    OpenSSL 是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现库,同时也包含各种加密算法、证书处理和其他功能。标题提到的是OpenSSL的1.0.2版本,这是一个历史悠久且广泛使用的版本,它在安全性、稳定性和...

    aws-sdk-cpp-master.zip_aws_aws cpp sdkopen ssl_aws-sdk-cpp_aws-s

    Carry out calibration to improve the color density. ... click here to see the details of how to perform the calibration from the control panel.

Global site tag (gtag.js) - Google Analytics