OpenSSL介绍分析和总结.docxVIP

标题:【翻译】（Ubuntu 文档）OpenSSL 本文档用于介绍 SSL 应用层协议，特别是 OpenSSL 对 SSL 的实现。举例详细介绍了在 Client-Server 环境下 OpenSSL 的使用。最后，通过例子展示了如何在 Apache 上使用 OpenSSL 以提供 Https 服务。读者应熟练使用命令行，bash，修改配置文件。 OpenSSL 简介： SSL 也即Secure Socket Layer，是由网景公司为了传输敏感数据而提出的协议。SSL 使用私钥加密传输的数据，防止被窃听。SSL 最普遍的使用适合和浏览器结合使用，但是其他很多的应用也可以使用 SSL。一般而言， 使用了 SSL 的 URL 以 https 开头。 OpenSSL 是广泛使用的商业级 SSL 工具，由 Eric A. Young 和 Tim J.Hudson 开发的库 SSLeay。 X.509 是 ITU-T 发布的数字证书规范。它规定了确定个人或计算机系统身份确认所需的信息和属性，用于安全管理和发布英特网的数字签名证书。OpenSSL 广泛应用 X.509。 OpenSSL 使用 安装：首先使用如下命令确定 Ubuntu 可用的 SSL 版本： apt-cache search libssl | grep SSL 应该看到如下结果： libssl0.9.6 - SSL shared libraries (old version) libssl-dev - SSL development libraries, header files and documentation libssl0.9.7 - SSL shared libraries 可能还需要安装 ca-certificate. 若需要 OpenSSL 的通用库，还需安装 libssl-dev. 基本 OpenSSL 命令 确定 OpenSSL 的版本： openssl verion OpenSSL 的可用命令： openssl help 为查找某一命令的帮助，在命令后加-h，如 openssl enc -h 列出所有可用的加密算法： openssl ciphers -v 使用 openssl speed 可以查看本机的 openssl 速度，查看每个算法美妙的加密字节数，以及 sign/verify 的时间 SSL 证书 该部分介绍 SSL 证书的产生，包括用于支持 SSL 的服务应用的自签名和公认签名，以及用于客户程序的 X.509 签名。 服务器 SSL 证书 生成 X.509 证书后，有三种方式进行签名：自签名，生成 CA 以及由公认的 CA 机构签名。证书签名后，便可用于 OpenSSL、连接 LDAP 的 SSL 通道以及 HTTP 服务器。该部分用于介绍证书的生成和签名。 生成并自签名证书 自签名证书的好处是使用方便，按需生成。当然，仅适用于封闭式的测试用途。使用自签名证书的缺点是用户的浏览器或应用，在连接使用自签名的 HTTP 服务器时总会报警。浏览器如 firefox 在默认情况下对公认可信的 CA 不会报警，但是在导入服务器的根证书后，也可以抑制警告。但一般而言，自签名的证书不推荐用于公共应用。（若要用于 e-commerce，公认签名证书不可少哦。） 在安装了 OpenSSL 之后，生成 X.509 证书就非常简单了。对于自签名证书，首先必须建立 CA： 创建初始工作环境，譬如在 home 目录， cd mkdir -p myCA/signedcerts mkdir myCA/private cd myCA 创建并进入 myCA，同时生成两个子目录 signedcerts 和 private myCA 用于存放 CA 证书，证书数据库，生成的证书，密钥以及请求signedcerts:保存签名证书的 copy private: 包含私钥 在 myCA 中创建证书库： echo 01serial touh index.txt 然后创建 f 文件。sudo nano ~/myCA/f 内容如下： # My sample f file. # # Default configuration to use when one is not provided on the command line. # [ ca ] default_ca = local_ca # # # Default location of directories and files needed to generate certificates. # [ local_ca ] dir = /home/username/myCA certificate = $dir/cacert.p