OpenSSL+命令翻译.doc

OpenSSL 1. 标 题: openssl简介--前言 2 2. 标题penssl简介--证书 2 3. 标题penssl简介--加密算法 7 4. 标题penssl简介--协议 9 5. openssl简介－入门 11 6. OpenSSL指令 12 6.1. openssl简介－指令 verify 12 6.2. openssl简介－指令asn1parse 16 6.3. openssl简介－指令ca 17 6.4. openssl简介－指令cipher 22 6.5. openssl简介－指令dgst 27 6.6. openssl简介－指令dhparam 28 6.7. openssl简介－指令enc 29 6.8. openssl简介－指令gendsa 32 6.9. openssl简介－指令genrsa 32 6.10. openssl简介－指令passwd 33 6.11. openssl简介－指令pkcs7 34 6.12. openssl简介－指令rand 35 6.13. openssl简介－指令req 35 6.14. openssl简介－指令rsa 40 6.15. openssl简介－指令rsautl 42 6.16. openssl简介－指令s_client 44 6.17. openssl简介－指令s_server 50 6.18. openssl简介－指令sess_id 52 6.19. openssl简介－指令speed 53 6.20. openssl简介－指令version 53 6.21. openssl简介－指令x509 54 标 题: openssl简介--前言 发信站:BBS水木清华站(FriNov1020:24:102000) 引用请指明原作/译者fordesign@21 证书用来保证不对称加密算法的合理性。想想吧，如果没有证书记录，那么假设某俩人A与B的通话过程如下： 这里假设A的publickey是K1,privatekey是K2，B的publickey是K3,privatekey是K4 xxxxxx(kn)表示用kn加密过的一段文字xxxxxx A〉hello(plaintext)〉B A〈hello(plaintext)〈B A〈Bspublickey〈B A〉spublickey(K1)〉B 如果C想假装成B,那么步骤就和上面一样。 A〉hello(plaintext)〉C A〈hello(plaintext)〈C 注意下一步，因为A没有怀疑C的身份，所以他理所当然的接受了C的publickey,并且使用这个key来继续下面的通信。 A〈Cspublickey〈C A〉Aspublickey(K1)〉C 这样的情况下A是没有办法发觉C是假的。如果A在通话过程中要求取得B的证书，并且验证证书里面记录的名字，如果名字和B的名字不符合，就可以发现对方不是B.验证B的名字通过再从证书里面提取B的公用密钥，继续通信过程。 那么，如果证书是假的怎么办？或者证书被修改过了怎么办？慢慢看下来吧。 证书最简单的形式就是只包含有证书拥有者的名字和公用密钥。当然现在用的证书没这么简单，里面至少还有证书过期的deadline,颁发证书的机构名称，证书系列号，和一些其他可选的信息。最重要的是，它包含了证书颁发机构(certificationauthority简称CA)的签名信息。 我们现在常用的证书是采用X.509结构的，这是一个国际标准证书结构。任何遵循该标准的应用程序都可以读，写X509结构的证书。 通过检查证书里面的CA的名字，和CA的签名，就知道这个证书的确是由该CA签发的然后，你就可以简单证书里面的接收证书者的名字，然后提取公共密钥。这样做建立的基础是，你信任该CA,认为该CA没有颁发错误的证书。 CA是第三方机构，被你信任，由它保证证书的确发给了应该得到该证书的人。CA自己有一个庞大的publickey数据库，用来颁发给不同的实体。 这里有必要解释一下，CA也是一个实体，它也有自己的公共密钥和私有密钥，否则怎么做数字签名？它也有自己的证书，你可以去它的站点down它的证书得到它的公共密钥。 一般CA的证书都内嵌在应用程序中间。不信你打开你的IE,在internet选项里面选中内容,点击证书,看看那个中间证书发行机构和委托根目录发行机构,是不是有一大堆CA的名称？也有时CA的证书放在安全的数据库里面。 当你接受到对方的证书的时候，你首先会去看该证书的CA,然后去查找自己的CA证书数据库，看看是否找的到，找不到就表示自己不信任该CA,那么就告吹本次连接。找到了的话就用该CA的证书里面的公用密钥去检查CA在证书上的签名。 这里又有个连环的问题，我怎么知道那个CA的证书是属于那个CA