OpenSSL

最新推荐文章于 2025-06-13 17:33:09 发布
最新推荐文章于 2025-06-13 17:33:09 发布
阅读量464 收藏
点赞数
文章标签: ssl 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43047908/article/details/128904088
版权
OpenSSL是一个实现SSL/TLS协议的库,它包括各种加密算法和证书管理功能。SSL通过非对称加密如RSA确保数据安全,数字签名验证数据完整性,而数字证书则由CA(证书权威机构)签名,确保服务器身份。SSL通过认证、加密和维护数据完整性来保护网络通信。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、什么是OpenSSL?

OpenSSL是web安全通信的基石,没有OpenSSL,可以说我们的信息都是在裸奔。要想了解OpenSSL,有几个前置的概念需要先熟悉一下:

SSL

SSL的全名叫做secure socket layer(安全套接字层),最开始是由一家叫网景的互联网公司开发出来,主要是防止信息在互联网上传输的时候不被窃听或者篡改,后来网景公司提交SSL给ISOC组织做标准化,改名为TLS。

非对称加密:RSA

在数学上有这样一个现象:给两个质数,很容易算出他们的乘积,但是给你一个很大的数5293(=79x67),你很难分解出两个质数,让他们的乘积正好等于这个很大的数。

非对称加密就是基于以上的现象产生的,用一个密钥对数据进行加密,然后可以使用另外一个不同的密钥对数据进行解密,这两个密钥就是:公钥和私钥。

公钥和私钥是可以相互推导的,根据私钥(=79x67),你可以很容易的算出公钥(5293),但是根据公钥,你却很难很难算出私钥,在互联网上:私钥一般由服务器掌握,公钥则由客户端使用。根据公钥,理论上需要花费地球上所有的计算机计算数万年才能算出私钥,所以认为是非常安全的。

数据签名

5293(=79x67)

将报文(111,333,52155,73277,95899)使用一定的HASH算法算出一个固定位数的摘要信息(13179),然后用私钥将摘要加密【79x6713179】,连同原来的报文一起{79x6713179:111,333,52155,73277,95899},发送给接收者,接收者通过公钥将摘要解出来|79x67131795293|,也通过HASH算法算出报文摘要,如果两个摘要一致,说明数据未被篡改,数据是完整的。

因为接收者是使用公钥解出的数据,如果数据完整,证明发送数据的人持有私钥,就能证明发送者的身份,因此数字签名具有证明发送者身份和防篡改的功能。

数字证书

由CA颁发给网站的身份证书,里面包含了该网站的公钥,有效时间,网站的地址,CA的数字签名等。

所谓的CA数字签名,实际上就是使用了CA的私钥将网站的公钥等信息进行了签名,当客户端请求服务器的时候,网站会把证书发给客户端,客户端首先可以通过CA的数字签名校验CA的身份,也能证明证书的真实完整性(之前说了,数字签名拥有证明身份和防篡改的功能)。

客户端有没有可能到一个假冒的CA去校验数字证书呢?不太可能,因为CA的地址是内嵌在浏览器中的,很难被篡改

2、SSL如何保护数据?

SSL保护数据的原理可以分为三部分

1)认证用户和服务器,确保数据发送到正确的客户端和服务器;

2)加密数据以防止数据中途被窃取;

3)维护数据的完整性,确保数据在传输过程中不被改变。

认证用户和服务器

现在来思考这样的一个问题,当我们访问百度的时候,我们怎么知道自己访问的是真百度还是假百度?是不是有可能有人劫持了我们访问百度的请求,然后路由给了一台他伪造的服务器?

为了确定我们访问的服务器没有被伪造,在SSL的通信流程中做了这样一个规定:一旦我们向服务器发送了请求后,服务器必须返回它的数字证书,当我们拿到数字证书之后,我们可以根据里面的ca数字签名,校验证书的合法性(不是被伪造的)。

此时,我们只能够证明证书确实是属于百度的,但不代表发送给我们证书的服务器就是百度,怎么办呢?

在证书里面会带有百度服务器的公钥,在之后的通信当中,客户端会使用该公钥加密数据给百度服务器,百度服务器必须使用私钥才能够解出里面的数据,假设百度服务器是假冒的,他一定没有正确的私钥,那么之后的通信都无法进行,所以假冒服务器是无法操作的。

由此,SSL就解决了服务器认证的问题。

加密数据以防止数据中途被窃取

客户端第一次给服务器发送请求的时候(拿到证书前的一次),会在请求里面放一个随机数C1,服务器在返回证书的响应里也会带一个随机数F,客户端拿到证书后,会使用公钥加密一个随机数C2送给服务器,这样客户端、服务器都拥有了三个随机数:C1、F、C2,双方使用这些随机数和一个相同的算法生成一个对称密钥,之后所有的通信都使用这个对称密钥来进行。

这个密钥会不会被泄露呢?不会,因为密钥是由3个随机数产生的,对于第一个随机数C1,他可能会被中间人监听到,然后第二个随机数F,也可能会被中间人监听到,但是第三个随机数C2,因为是用公钥加密的,除非中间人有私钥,否则是不可能解出来的。

为什么要生成一个对称密钥来进行数据通信呢?因为非对称加密在解密的时候相当耗费性能,换成对称密钥后,会好很多。

维护数据的完整性

主要是针对服务器发送数字证书这一过程来说的,服务器的数字证书中含有ca数字签名,可以很有效的保证证书的真实性和完整性(没有被篡改)

回过头来,我们来了解一下openssl,上面的SSL只是一个协议,openssl则是SSL的实现版,另外openssl还包含了公钥私钥的生成、摘要生成等各种工具。

我们知道,有些时候我们浏览网站的时候会有一些广告,这些广告什么的不一定是原网站挂上去的,也有可能是中间的运营商在中间篡改了内容导致的,可以使用https技术(一般是基于openssl)来对数据进行加密,保证数据不被篡改。

Linux升级openssl解决方案
weixin_43178406的博客
01-01 3万+
本文主要介绍了Linux升级openssl解决方案,希望能对使用Linux的同学们有所帮助。成功升级后的截图如下所示: 文章目录 1. 问题描述 2. 解决方案
OpenSSL1.1.1w
10-31
OpenSSL 1.1.1w是该软件库的一个更新版本,包含了之前版本的修复和性能改进,是其软件开发套件中的重要组成部分。 在此次提供的压缩包中,包含了两个主要文件:include-lib.7z和Win64OpenSSL-1_1_1w.exe。include-...
openssl命令详解
lv_zj的专栏
01-11 2582
openssl genrsa:使用rsa算法生成私钥(包含公钥)。openssl rsa:rsa密钥管理。openssl req:请求证书管理。
openssl3.2 - 编译
谢绝(无视)留言与私信
01-07 2772
ECC实现没有轻量级的工程, 那就只能用openssl了.先从头编译一个OpenSSL.
openssl 安装及使用
sinat_16493273的博客
12-26 2717
OpenSSL 是一个强大的开源加密库,提供了一系列密码学功能,包括加密、解密、数字签名、证书生成和管理等。它同时也是一个通用的 SSL/TLS 协议实现,用于安全地传输数据。您可以使用 OpenSSL 来创建和管理证书、进行加密通信,以及执行各种与加密相关的操作。
openSSL
lvlei19911108的博客
06-24 5728
OpenSSL的核心的本质在于可以由用户自己来进行证书的签发,自定义证书是不被谷歌支持的,要想玩自定义证书就要通过火狐浏览器。 OpenSSL简介 为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其他目的使用。 通过在一定范围内部署一台CA(Certificate Authority)服务器(CA就是认证...
OpenSSL 常用命令
OnlyLove_的博客
12-07 2089
OpenSSL 常用命令整理
Java - OpenSSL与国密OpenSSL
小工匠
01-26 8333
国密OpenSSL与普通OpenSSL的主要不同之处在于支持的加密算法。普通OpenSSL主要支持国际通用的加密算法,而国密OpenSSL在保持对这些算法支持的同时,增加了对中国国家密码管理局规定的国产密码算法的支持。这使得国密OpenSSL能够更好地满足中国用户在特定场景下的安全需求。
openssl升级
yh
11-24 2346
【代码】openssl升级。
OpenSSLOpenSSL 教程
Young_Pro的博客
09-26 4025
OpenSSL是一个开源的软件库,用于实现SSL/TLS协议以及通用加密功能,广泛用于网络通信和数据安全领域。
openssl版本号解析
gpf0845531213的专栏
11-28 1553
所以 0e 对应表格中的 n,第9位代表状态 dev beta release等,即 0 表示 dev,1 到 e 表示 beta 1 到 14,f 则表示 release。如 0x101010ef 省略了前面的一个0, 实际为 0x0101010ef 版本是 1.1.1n-release。OPENSSL_VERSION_NUMBER 具体的值,一般在 opensslv.h 头文件中。从上面文章中可以看得出版本号共9位数(最后的L表示长整型)7到8位为 0e 对应字母 n。
OpenSSL3.0.12
11-12
OpenSSL 是一个强大的安全套接层 (SSL) 和传输层安全 (TLS) 库,用于加密通信、实现网络协议,并提供了各种密码算法、常见的密钥和证书封装管理功能以及 SSL/TLS 协议。OpenSSL 的最新版本是 3.0.12,这是一个重要的...
openssl-3.0.0
06-12
OpenSSL 3.0.0:加密技术的基石与新特性详解》 OpenSSL 是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现库,广泛应用于网络服务器、应用程序以及开发环境中,确保数据传输的安全性。其最新版本 ...
openssl相关rpm包
11-04
openssl是一套用于实现SSL协议的软件库,其中包含了用于加密、解密、签名、验证等操作的加密算法。在Linux操作系统中,openssl往往以rpm包的形式提供,方便用户通过包管理器进行安装和更新。rpm(RPM Package ...
openssl1.1.0f版本
12-03
OpenSSL是一个开源的软件库项目,广泛用于互联网通信中提供安全套接字层(SSL)协议,以及传输层安全(TLS)协议。该库提供各种加密算法的实现,包括对称密钥加密、非对称密钥加密、哈希函数和数字签名算法等。OpenSSL还...
Windows 远程桌面添加 SSL 证书指南
最新发布
一名北漂Java程序员的学习记录!
06-13 540
本文介绍了如何为 Windows 远程桌面(RDP)服务配置 SSL 证书,以实现加密连接,提升安全性。
【解决办法】git clone报错unable to access ‘xxx‘: SSL certificate problem
Frost_Descent的博客
06-10 529
这意味着Git在进行HTTPS连接时不会验证服务器的SSL证书,可能会导致不安全的连接。在特定情况下,如果你无法正确地验证证书,或者遇到错误的SSL证书,你可以使用这个命令来解决问题。这个命令不仅复制远程仓库中的所有文件,还复制仓库的历史记录,使得你可以在本地进行版本控制操作,如提交(commit)、分支(branch)和合并(merge)等。配置git证书信任:有时候,Git无法识别服务器的SSL证书,需要手动配置信任。更新git版本:可能是你使用的git版本较老,无法识别最新的SSL证书。
【报错解决】Java 连接https报错「javax.net.ssl.SSLHandshakeException」怎么破?看这篇!
cuiwin的专栏
06-13 637
Java 应用程序连接 HTTPS 服务时出现如下报错:javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
升级openssl后无法使用cmake和curl的解决方法
louObaichu的专栏
06-13 235
摘要:升级OpenSSL后出现curl无法使用的问题,原因是新版默认禁用SSLv3。解决方案是重新编译OpenSSL时启用SSLv3支持,通过添加enable-ssl3和enable-ssl3-method参数。虽然理论上可升级curl并禁用SSLv3来解决,但该方法未验证。需要注意SSLv3因安全问题正被逐步淘汰,保留支持仅用于旧版软件兼容。
openssl
06-03
### OpenSSL 使用指南与技术文档 OpenSSL 是一个强大的开源库,提供了加密算法、证书处理和密钥生成功能,广泛应用于网络通信安全[^1]。以下是一些关于 OpenSSL 的使用指南和技术文档的详细信息: #### 1. 安装 OpenSSL 在 Windows 环境下,可以使用轻量级版本 `Win64OpenSSL_Light-1_1_1b` 来安装 OpenSSL。下载并解压后,将可执行文件路径添加到系统的环境变量中以便全局调用[^1]。 #### 2. 常用命令行工具 OpenSSL 提供了一系列命令行工具,用于生成证书、处理私钥以及进行 SSL/TLS 操作。以下是几个常用的命令示例: - **生成私钥**: ```bash openssl genpkey -algorithm RSA -out private_key.pem -pkeyopt rsa_keygen_bits:2048 ``` 该命令会生成一个 2048 位的 RSA 私钥[^1]。 - **生成自签名证书**: ```bash openssl req -x509 -new -nodes -key private_key.pem -sha256 -days 365 -out certificate.crt ``` 此命令基于已有的私钥生成一个有效期为 365 天的自签名证书[^1]。 - **验证证书**: ```bash openssl x509 -in certificate.crt -text -noout ``` 通过此命令可以查看证书的详细信息。 #### 3. 配置 HTTPS 服务 在开发 HTTPS 服务时,可以使用 OpenSSL 生成的证书和私钥配置服务器。例如,在 Nginx 中,可以通过以下配置启用 HTTPS: ```nginx server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/certificate.crt; ssl_certificate_key /path/to/private_key.pem; location / { proxy_pass http://localhost:8080; } } ``` #### 4. 技术文档与资源 为了更深入地了解 OpenSSL,可以参考以下资源: - [OpenSSL 官方文档](https://www.openssl.org/docs/) - [OpenSSL Wiki](https://wiki.openssl.org/index.php/Main_Page) - [OpenSSL Cookbook](https://www.feistyduck.com/books/openssl-cookbook/) 这些资源提供了从基础到高级的全面指导,涵盖了证书管理、加密算法实现以及 TLS 协议的具体应用。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值