openssl技术.docVIP

openssl技术 openssl简介 (中文版本)  （内部资料，禁止外传）目录 前言１openssl简介－证书 2openssl简介－加密算法 7openssl简介－协议 9openssl简介－入门 11openssl简介－指令 verify 13openssl简介－指令asn1parse 17openssl简介－指令ca(一) 19openssl简介－指令ca(二) 22openssl简介－指令cipher 24openssl简介－指令dgst 28openssl简介－指令dhparam 29openssl简介－指令enc 31openssl简介－指令gendsa 34openssl简介－指令genrsa 35openssl简介－指令passwd 36openssl简介－指令pkcs7 37openssl简介－指令rand 38openssl简介－指令req（一） 39openssl简介－指令req（二） 42openssl简介－指令rsa 45openssl简介－指令rsautl 47openssl简介－指令s_client（一） 50openssl简介－指令s_client（二） 53  openssl简介－指令s_server57openssl简介－指令sess_id 59openssl简介－指令speed 61openssl简介－指令version 62openssl简介－指令x509（一） 63openssl简介－指令x509（二） 66 前言 不久前接到有关ssl的活，结果找遍中文网站资料实在奇缺。感觉是好象现在 国内做这个技术的人不多。所有有兴趣写点东西来介绍一下。 我使用的ssl的toolkit是openssl就用openssl做例子来讲解 openssl实在太大了，指令也多，API也多，更严重的是它的API没有说明。我 打算漫漫说清楚其主要指令的用法，主要API的中文说明，以及使用/编程的 方法。 工作量很大，因为我接触它也没几个月，现在大概完成了1/10吧，先把目前 自己的一些心得，找到的资料和一些翻译出来的东西贴出来，希望对研究ssl 的人有帮助 文章里的bug欢迎告之 openssl简介－证书 证书就是数字化的文件，里面有一个实体(网站，个人等)的公共密钥和其他的 属性，如名称等。该公共密钥只属于某一个特定的实体，它的作用是防止一个 实体假装成另外一个实体。 ???证书用来保证不对称加密算法的合理性。想想吧，如果没有证书记录，那 么假设某俩人A与B的通话过程如下： 这里假设A的public key是K1, private key是K2 B的public key是K3, private key是K4 xxxxxx(kn)表示用kn加密过的一段文字xxxxxx A-----〉hello(plain text)-------------〉B  A〈---------hello(plain text)〈---------B A〈---------Bs public key〈------------B A---------〉s public key(K1)--------〉B ... ... 如果C想假装成B,那么步骤就和上面一样。 A-----〉hello(plain text)-------------〉C A〈---------hello(plain text)〈---------C 注意下一步，因为A没有怀疑C的身份，所以他理所当然的接受了C的 public key,并且使用这个key来继续下面的通信。 A〈---------Cs public key〈------------C A---------〉As public key(K1)--------〉C ... ... ?这样的情况下A是没有办法发觉C是假的。如果A在通话过程中要求取得B 的证书，并且验证证书里面记录的名字，如果名字和B的名字不符合，就可以 发现对方不是B.验证B的名字通过再从证书里面提取B的公用密钥，继续通信 过程。 ?那么，如果证书是假的怎么办？或者证书被修改过了怎么办？慢慢看下来吧。 ???证书最简单的形式就是只包含有证书拥有者的名字和公用密钥。当然现 在用的证书没这么简单，里面至少还有证书过期的deadline,颁发证书的机构 名称，证书系列号，和一些其他可选的信息。最重要的是，它包含了证书颁发 机构(certification authorit简称CA)的签名信息。 我们现在常用的证书是采用X.509结构的，这是一个国际标准证书结构。任何 遵循该标准的应用程序都可以读写X509结构的证书。  通过检查证书里面的CA的名字，和CA的签名，就知道这个证书的确是由该C A签发的，然后，你就可以简单证书里面