RSA加密原理与秘钥、公钥生成
RSA加密(非对称加密)
RSA公开密钥密码体制。所谓的公开密钥密码体制就是使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。(不可逆向运算的加密方法)
它通常是先生成一对RSA 密钥,其中之一是保密密钥(私钥),由用户保存;另一个为公开密钥(公钥),可对外公开,甚至可在网络服务器中注册。为提高保密强度,RSA密钥至少为500位长,一般推荐使用1024位。
RSA进行的都是大数计算,使得RSA最快的情况也比DES慢上好几倍,无论是软件还是硬件实现。速度一直是RSA的缺陷。一般来说只用于少量数据加密。RSA的速度比对应同样安全级别的对称密码算法要慢1000倍左右。
PHP端(操作方法):
生成证书前先检查 /etc/pki/CA 是否有 index.txt 和 serial 文件
以下是创建的方法
touch index.txt 排序数据库,用来跟踪已经颁发的证书。我们把它命名为index.txt,文件内容为空
touch serial
echo 01 > serial 用来跟踪最后一次颁发的证书的序列号,我们把它命名为serial,初始化为01
在linux下创建一个文件夹MyCA 在MyCA下创建两个文件夹用来保存
certs 用来保存我们的CA颁发的所有的证书的副本
private用来保存CA证书的私钥匙
mkdir 命令来创建文件夹
一·构建根证书
1.随机数文件
构建根证书前,需要构建随机数文件(.rand),完整命令如
openssl rand -out private/.rand 1000 随机数文件
2,构建根证书私钥
openssl genrsa -aes256 -out private/ca.key.pem 2048 ca.key.pem(CA证书.密钥)私钥
3,生成根证书签发申请 ca.csr 证书签发申请文件
openssl req -new -key private/ca.key.pem -out private/ca.csr
也可以在命令后面 拼接 -subj "/C=国家/ST=位置/L=位置/O=公司名/OU=单位/CN=绑定网址" 快捷创建 注意输入英文双引号。
得到根证书签发申请文件后,我们可以将其发生给CA机构签发,当然我们也可以自行签发根证书。
4,签发根证书(自行签发根证书) ca.cer 自行签发根证书
openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey private/ca.key.pem -in private/ca.csr -out certs/ca.cer
5,根证书转化 PKCS#12编码格式 适用于JAVA语言直接使用 ca.p12 转化(根证书)ca.cer
openssl pkcs12 -export -cacerts -inkey private/ca.key.pem -in certs/ca.cer -out certs/ca.p12
6,查看刚刚转化ca.p12密钥库信息
keytool -list -keystore certs/ca.p12 -storetype pkcs12 -v -storepass 证书密码
我们已经构建了根证书(ca.cer),我们可以使用根证书签发服务器证书和客户证书。
二·构建服务器证书
1.服务器证书的构建与根证书构建相似,首先需要构建私钥。
openssl genrsa -aes256 -out private/server.key.pem 2048 server.key.pem 服务器私钥
2.生成服务器证书签发申请 server.csr 证书签发申请文件
openssl req -new -key private/server.key.pem -out private/server.csr
也可以在命令后面 拼接 -subj "/C=国家/ST=位置/L=位置/O=公司名/OU=单位/CN=绑定网址" 快捷创建 注意输入英文双引号。
3.签发服务器证书(签发X.509格式证书命令)
openssl x509 -req -days 3650 -sha1 -extensions v3_req -CA certs/ca.cer -CAkey private/ca.key.pem -CAserial ca.srl - CAcreateserial -in private/server.csr -out certs/server.cer 服务器证书
4.服务器证书转换
这里我们同样需要将OpenSSL产生的数子证书转化为PKCS#12编码格式 server.p12 转化(根证书)server.cer
openssl pkcs12 -export -clcerts -inkey private/server.key.pem -in certs/server.cer -out certs/server.p12
我们已经构建了服务器证书(server.cer),并可使用该证书构建基于单向认证网络
三·构建客户证书
1.客户证书的构建与服务器证书构建基本一致,首先需要构建私钥。
openssl genrsa -aes256 -out private/client.key.pem 2048 client.key.pem 客户私钥
2.生成客户证书签发申请 client.csr 客户证书签发申请
openssl req -new -key private/client.key.pem -out private/client.csr
也可以在命令后面 拼接 -subj "/C=国家/ST=位置/L=位置/O=公司名/OU=单位/CN=客户名" 快捷创建 注意输入英文双引号。
3.签发客户证书 client.cer 客户证书
openssl ca -days 3650 -in private/client.csr -out certs/client.cer -cert certs/ca.cer -keyfile private/ca.key.pem
4.客户证书转换
这里我们同样需要将OpenSSL产生的数子证书转化为PKCS#12编码格式 client.p12 转化(客户证书)client.cer
openssl pkcs12 -export -clcerts -inkey private/client.key.pem -in certs/client.cer -out certs/client.p12
至此,我们完成了双向认证的所需的全部证书
数字证书是公钥的载体
而密钥库可以包含公钥、私钥信息
密钥库指 .p12 和 .cer 文件
openssl rsa -in server.key.pem -pubout -out server.public.key.pem 根据私钥导出公钥
posted on 2016-08-30 10:01 trangowang 阅读(2287) 评论(0) 编辑 收藏 举报
