openssl使用手册.docx

OpenSSL有两种运行模式：交互模式和批处理模式。直接输入openssl回车进入交互模式，输入带命令选项的openssl进入批处理模式。(1) 配置文件OpenSSL的默认配置文件位置不是很固定，可以用openssl ca命令得知。你也可以指定自己的配置文件。当前只有三个OpenSSL命令会使用这个配置文件：ca, req, x509。有望未来版本会有更多命令使用配置文件。(2)消息摘要算法支持的算法包括：MD2, MD4, MD5, MDC2, SHA1(有时候叫做DSS1), RIPEMD-160。SHA1和RIPEMD-160产生160位哈西值,其他的产生128位。除非出于兼容性考虑，否则推荐使用SHA1或者RIPEMD-160。除了RIPEMD-160需要用rmd160命令外，其他的算法都可用dgst命令来执行。OpenSSL对于SHA1的处理有点奇怪，有时候必须把它称作DSS1来引用。消息摘要算法除了可计算哈西值，还可用于签名和验证签名。签名的时候，对于DSA生成的私匙必须要和DSS1(即SHA1)搭配。而对于RSA生成的私匙，任何消息摘要算法都可使用。############################################################## 消息摘要算法应用例子# 用SHA1算法计算文件file.txt的哈西值，输出到stdout$ openssl dgst -sha1 file.txt# 用SHA1算法计算文件file.txt的哈西值,输出到文件digest.txt$ openssl sha1 -out digest.txt file.txt# 用DSS1(SHA1)算法为文件file.txt签名,输出到文件dsasign.bin# 签名的private key必须为DSA算法产生的，保存在文件dsakey.pem中$ openssl dgst -dss1 -sign dsakey.pem -out dsasign.bin file.txt# 用dss1算法验证file.txt的数字签名dsasign.bin，# 验证的private key为DSA算法产生的文件dsakey.pem$ openssl dgst -dss1 -prverify dsakey.pem -signature dsasign.bin file.txt# 用sha1算法为文件file.txt签名,输出到文件rsasign.bin# 签名的private key为RSA算法产生的文件rsaprivate.pem$ openssl sha1 -sign rsaprivate.pem -out rsasign.bin file.txt# 用sha1算法验证file.txt的数字签名rsasign.bin，# 验证的public key为RSA算法生成的rsapublic.pem$ openssl sha1 -verify rsapublic.pem -signature rsasign.bin file.txt(3) 对称密码OpenSSL支持的对称密码包括Blowfish, CAST5, DES, 3DES(Triple DES), IDEA, RC2, RC4以及RC5。OpenSSL 0.9.7还新增了AES的支持。很多对称密码支持不同的模式，包括CBC, CFB, ECB以及OFB。对于每一种密码，默认的模式总是CBC。需要特别指出的是，尽量避免使用ECB模式，要想安全地使用它难以置信地困难。enc命令用来访问对称密码，此外还可以用密码的名字作为命令来访问。除了加解密，base64可作为命令或者enc命令选项对数据进行base64编码/解码。当你指定口令后，命令行工具会把口令和一个8字节的salt(随机生成的)进行组合，然后计算MD5 hash值。这个hash值被切分成两部分：加密钥匙(key)和初始化向量(initialization vector)。当然加密钥匙和初始化向量也可以手工指定，但是不推荐那样，因为容易出错。############################################################## 对称加密应用例子# 用DES3算法的CBC模式加密文件plaintext.doc，# 加密结果输出到文件ciphertext.bin$ openssl enc -des3 -salt -in plaintext.doc -out ciphertext.bin# 用DES3算法的OFB模式解密文件ciphertext.bin，# 提供的口令为trousers，输出到文件plaintext.doc# 注意：因为模式不同，该命令不能对以上的文件进行解密$ opens