CA证书,openssl,enc,dgst命令,base64编码,生成私有CA,make命令生成私钥证书文件

原创 已于 2023-09-27 16:23:36 修改 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

于 2021-02-02 18:17:58 首次发布
本文详细介绍了如何使用openssl工具创建私有CA,包括生成CA证书、密钥,自签名证书,颁发和吊销用户证书的过程。同时讲解了openssl的enc和dgst命令,以及base64编码在证书管理中的应用。

文章目录

一. CA证书

证书的作用:让通信双方获得真的公钥

PKI:Public Key Infrastructure
签证机构:CA(Certificate Authority)
注册机构:RA
证书吊销列表:CRL
证书存取库:
证书存取库
建立私有CA:给企业内部颁发证书
OpenCA
openssl

获取证书两种方法
• 使用证书授权机构
生成证书请求(csr)
将证书请求csr发送给CA
CA签名颁发证书

• 自签名的证书
自已签发自己的公钥

OpenSSL:开源项目

三个组件:

openssl:多用途的命令行工具,包openssl
libcrypto:加密算法库,包openssl-libs
libssl:加密模块应用库,实现了ssl及tls,包nss

补充----base64编码

base64编码
在这里插入图片描述
例如:
abc的64编码
在这里插入图片描述

a=97=64+32+1

翻译成二进制
01100001
所以就有abc的二进制为
01100001 01100010 01100011

因为base64是2的6次方
所以,将他们分隔成6位的,(如果不足,向后补0,并且最后棉麻得加上=)

011000   	010110  	001001  	100011
24			22			9			35
Y			W			J			j

ab就是不足—最后要补上=
在这里插入图片描述

二. openssl

两种运行模式:交互模式和批处理模式
openssl version:程序版本号
标准命令、消息摘要命令、加密命令
标准命令:enc, ca, req

在这里插入图片描述

对称加密

工具:openssl enc, gpg
算法:3des, aes, blowfish, twofish

1. enc命令:

帮助:man enc
选项:

 -e加密,
 -d解密 
 -des3加密算法
 -in对谁加
 -a是base64编码  
 -out生成的文件
 -salt(盐)打乱加密结果--避免一样的密码hash值一样

加密:
openssl enc -e -des3 -a -salt -in testfile -out testfile.cipher
解密:
openssl enc -d -des3 -a -salt –in testfile.cipher -out testfile
在这里插入图片描述
在这里插入图片描述

单向加密 (hash运算):

工具:md5sum, sha1sum, sha224sum,sha256sum…

openssl dgst

2. dgst命令 (hash算法):

帮助:man dgst
openssl dgst -md5 [-hex默认] /PATH/SOMEFILE
openssl dgst -md5 testfile
也可以用 -sha512等
相当于md5sum /PATH/TO/SOMEFILE
在这里插入图片描述

最低0.47元/天 解锁文章
OpenSSL实现AES和RSA加解密命令以及证书生成
renzhongrui的博客
04-04 2272
准备工作 查看OpenSSL版本 openssl version 创建测试文件 touch msg.txt 输入内容 echo 123 msg.txt 生成摘要(哈希) MD5摘要 openssl dgst -md5 msg.txt - sha1摘要 `openssl dgst -sha1 msg.txt sha256摘要 openssl dgst -sha1 msg.txt ...
Kubernetes组件_APIServer_证书_01_Openssl实现对称加密、非对称加密、CA颁布证书
毛毛的专栏
05-17 1516
生成私钥: openssl genrsa这条命令openssl随机生成一份私钥,加密长度是1024位。加密长度是指理论上最大允许”被加密的信息“长度的限制,也就是明文的长度限制。随着这个参数的增大(比方说2048),允许的明文长度也会增加,但同时也会造成计算复杂度的极速增长。生成密钥对,使用 openssl genrsa / openssl rsa / openssl pkcs8 命令。公钥加密,私钥解密,使用 ,使用 openssl rsautl 命令私钥查看,使用 openssl rsa 命令
CA证书生成工具OpenSSL
07-13
提供了建立在普通的通讯层基础上的加密传输层;这些功能为许多网络应用和服务程序所广泛使用。为应用软件提供证书OpenSSL 最为常用的功能之一。
如何获得证书BASE64编码
HI,我是小瑞!
07-06 7675
这几天项目中需要使用到BASE64格式的证书信息,我就从IE中导出证书,里面有可选项,你可以选择不需要导出证书私钥,然后选择导出BASE64编码格式X.509的证书,即.CER格式的证书,导出到本地之后,使用UE之类的工具打开之后就可以看见里面的信息, 类似这种-----BEGIN CERTIFICATE-----MIICsDCCAhmgAwIBAgIMFIQFnae2+U9IIPua
Openssl dgst命令
weixin_33699914的博客
07-21 219
一、简介 消息摘要可以对任意长度的消息产生固定长度(16或20个字节)的信息摘要,理论基于单向HASH函数,根据消息摘要无法恢复出原文,所以是安全的;消息原文和消息摘要是一一对应的,所以又被称作指纹。   二、语法 openssl dgst[-md5|-md4|-md2|-sha1|-sha|-mdc2|-ripemd160|-dss1] [-c] [-d] [-hex] [-bina...
OpenSSL命令---dgst
热门推荐
VitalityShow(网络通讯)
11-01 1万+
摘要值计算参数说明
openssl创建ca 公私密钥 证书
07-13
本教程将详细讲解如何使用OpenSSL创建CA生成公私密钥对以及证书,以及如何进行加密解密、加签验签操作。 首先,让我们了解基本概念: 1. **CA证书颁发机构)**:它是可信的第三方机构,负责验证并签发数字证书...
openssl自建CA生成证书
lyzkks的博客
04-07 4189
查看openssl版本 openssl version 使用openssl加密和解密文件 加密文件 opnessl有一个子命令enc,他可以用来加密文件,具体参数如下: -ciphername:指定加密算法 -in filename:指定加密的文件 -out filename:指定加密后的文件 -salt:加盐(更强的安全性,是默认选项) -...
CA证书创建工具
10-16
CA证书创建工具 XCA-0.5.1.rar
CA证书制作工具
11-14
非常好用的证书制作工具,内含证书制作文档,绝对能帮助你解决制作简单证书的问题。
CA 证书软件制作
10-20
CA 证书软件制作 汉化软件,可以直接制作ca自签名证书,自己已经试过,可以使用
XCA证书生成工具_1.4.1
05-24
可以自制一系列的安全证书,XCA工具1.4.1版本,资源包附带使用流程链接,亲测可用
ca证书自动生成脚本
01-30
ca证书自动生成脚本,只需修改下脚本内的文件路径等,即可使用,当然,不修改也没问题!
OpenSSLOpenSSL实现Base64
maoye的博客
09-20 2648
Base64就是将二进制数据转换为字符串的一种算法。
OpenSSL生成CA证书及终端用户证书
weixin_30849591的博客
05-15 576
环境 OpenSSL 1.0.2k FireFox 60.0 64位 Chrome 66.0.3359.181 (正式版本)(32位) Internet Explorer 11.2248.14393.0 Websocketd 0.3.0 Nginx 1.12.2 步骤 1. 生成CA证书 1.1 准备ca配置文件,得到ca.conf vim ca.conf ...
使用openssl 实现base64编解码
rensichao的博客
07-12 377
注:BIO_write()后一定需要调用BIO_flush(),将BIO_mem 内部缓冲区的数据都写出去。借助BIO对象是OpenSSL中的一种抽象,用于处理各种类型的输入/输出,如文件、套接字、内存等。– BIO_write(),使字符串经过B64编码,写入BIO_mem, 再从memory读出。BIO链,通过BIO_push()接口,可以实现b64对象和需要编解码的字符串的链接。– BIO_read(),使字符串经过B64解码,读出;
openssl常用命令-dgst
杨小熊学习笔记
05-28 4680
openssl 常用命令 openssl 1.1.1 官方文档 常用命令 # 查看版本号 openssl version openssl version -a 1. dgst 摘要 命令格式: openssl dgst [options] [file...] openssl dgst 官方文档 # 1. 查看帮助 -help # 2. 打印支持的算法列表(常用) -list # 3. 打印结果用冒号分割(only hex) -c # 4. 打印BIO debug信息 -d # 5. 结果使用十六进制格式
OpenSSL学习(九):基础-指令dgst
weixin_34419326的博客
08-12 774
为什么80%的码农都做不了架构师?>>> ...
# 使用私钥对更新包签名 openssl dgst -sha1 -binary < update_package.zip | openssl dgst -dss1 -sign dsa_priv.pem | openssl enc -base64 这个签名是要求我从下载url中下载下来的包是经过这个签名的吗
最新发布
11-25
你的理解有误。**这个签名并不是要求下载的更新包本身包含签名**,而是你需要**对更新包文件单独生成签名**,并将签名结果嵌入到 Appcast XML 中。以下是关键点澄清和完整流程: --- ### **1. 签名与更新包的关系** - **签名是独立的**: 你提供的命令是对本地已有的更新包文件(如 `update_package.zip`)生成签名,生成的是一个**独立的签名文件**(或 Base64 字符串)。这个签名不会直接修改更新包文件本身。 - **签名需嵌入 XML**: 生成的签名(如 `MEUCIQD...`)需要作为 `sparkle:edSignature` 或 `sparkle:dsaSignature` 属性值,写入到 Appcast XML 的 `<enclosure>` 标签中。Sparkle 在下载更新包后,会通过这个签名验证文件的完整性。 --- ### **2. 完整签名流程** #### **(1) 生成签名(你的命令)** ```bash openssl dgst -sha1 -binary < update_package.zip | openssl dgst -dss1 -sign dsa_priv.pem | openssl enc -base64 ``` - **作用**:对本地 `update_package.zip` 生成 DSA 签名(Base64 格式)。 - **注意**:Sparkle 2.x **推荐使用 Ed25519 签名**(更安全),命令如下: ```bash sparkle_sign_update.sh update_package.zip dsa_priv.pem ``` #### **(2) 将签名写入 Appcast XML** ```xml <enclosure url="https://example.com/updates/update_1.0.1.zip" sparkle:version="1.0.1" sparkle:edSignature="MEUCIQD...(签名内容)..." <!-- 来自上一步 --> length="123456" <!-- 文件大小(字节) --> type="application/octet-stream" /> ``` - **关键点**: - `url` 是更新包的下载地址(文件本身无需嵌入签名)。 - `sparkle:edSignature` 是步骤 (1) 生成的签名。 - `length` 是文件大小(可选但推荐)。 #### **(3) 用户下载更新包时的验证流程** 1. Sparkle 先下载 Appcast XML,检查 `url` 和签名。 2. 用户点击更新后,Sparkle 下载 `url` 指向的 `.zip` 文件。 3. Sparkle 使用公钥(配置在客户端的 `SUPublicEDKey`)验证下载的文件是否与 XML 中的签名匹配。 - **如果签名不匹配**:更新会被拒绝(防止篡改)。 --- ### **3. 你的问题的直接回答** > **“这个签名是要求我从下载 URL 中下载下来的包是经过这个签名的吗?”** **不是**。签名是独立生成的,下载的更新包文件本身不需要包含签名。签名是通过 Appcast XML 关联的,Sparkle 会在下载后验证文件是否与签名匹配。 --- ### **4. 常见误区** - **误区1**:认为签名需要写入更新包文件。 → 实际:签名是独立的,通过 XML 传递。 - **误区2**:忽略 HTTPS 要求。 → 即使签名正确,如果 Appcast XML 或更新包通过 HTTP 传输,Sparkle 2.x 会拒绝更新(需 HTTPS)。 - **误区3**:混淆 DSA 和 Ed25519。 → Sparkle 1.x 用 DSA,2.x 必须用 Ed25519(需升级工具链)。 --- ### **5. 完整示例(Swift + 命令行)** #### **(1) 生成 Ed25519 签名** ```bash # 使用 Sparkle 2.x 工具签名 sparkle_sign_update.sh update_package.zip ed25519_priv.pem ``` 输出类似: ``` EdDSA signature for update_package.zip: MEUCIQDz7bJv38jX2k...(签名内容)... ``` #### **(2) 动态生成 XML(Swift 代码)** ```swift func generateAppcastXML(version: String, downloadURL: String, signature: String) -> String { return """ <?xml version="1.0" encoding="utf-8"?> <rss version="2.0" xmlns:sparkle="http://www.andymatuschak.org/xml-namespaces/sparkle"> <channel> <item> <title>Version \(version)</title> <sparkle:version>\(version)</sparkle:version> <enclosure url="\(downloadURL)" sparkle:version="\(version)" sparkle:edSignature="\(signature)" length="\(try! Data(contentsOf: URL(fileURLWithPath: "update_package.zip")).count)" type="application/octet-stream" /> </item> </channel> </rss> """ } ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值