Week1:20175234 赵诗玥学习笔记

时间：2020-04-17 12:59:28 阅读：67 评论：0 收藏：0 [点我收藏+]

本周学习规划
学习笔记
遇到的问题及解决措施
参考资料

本周学习规划

收集相关资料，学习证书格式的相关知识
收集相关资料，学习OpenSSL的使用方法
安装OpenSSL
使用OpenSSL命令行查看证书，并实现证书格式转换

学习笔记

常见证书标准

x509
- 基本的证书格式，只包含公钥。
  x509证书由用户公共密钥和用户标识符组成。此外还包括版本号、证书序列号、CA标识符、签名算法标识、签发者名称、证书有效期等信息。
PKCS#7
- Public Key Cryptography Standards #7。
- PKCS#7一般把证书分成两个文件，一个公钥、一个私钥，有PEM和DER两种编码方式。PEM比较多见，是纯文本的，一般用于分发公钥，看到的是一串可见的字符串，通常以.crt，.cer，.key为文件后缀。DER是二进制编码。
- PKCS#7一般主要用来做数字信封。
PKCS#10
- 证书请求语法。
PKCS#12
- Public Key Cryptography Standards #12。
- 一种文件打包格式，为存储和发布用户和服务器私钥、公钥和证书指定了一个可移植的格式，是一种二进制格式，通常以.pfx或.p12为文件后缀名。
- 使用OpenSSL的pkcs12命令可以创建、解析和读取这些文件。
- P12是把证书压成一个文件，xxx.pfx。主要是考虑分发证书，私钥是要绝对保密的，不能随便以文本方式散播。所以P7格式不适合分发。.pfx中可以加密码保护，所以相对安全些。

常见数字证书编码格式

PEM Format
- Privacy Enhanced Mail
- 内容以"-----BEGIN..."开头，以"-----END..."结尾
- 查看PEM格式证书的信息：openssl x509 -in certificate.pem -text -noout
- ASCII文件使用Base64编码
- 常用后缀为 .pem, .crt, .cer, .key
- Apache 使用 PEM 证书。
DER Format
- Distinguished Encoding Rules
- 二进制文件
- 扩展名 .cer & .der
- 查看DER格式证书的信息：openssl x509 -in certificate.der -inform der -text -noout
- 一般用于java平台
PFX Format
- PFX也称为PKCS#12(Public Key Cryptography Standards #12)，常见的扩展名是: .pfx 和 .p12
- 二进制文件，用于存储服务器证书,公钥和私钥都包含,而且加密.

安装OpenSSL

访问官网下载OpenSSL
按照默认选项安装
配置环境变量，在系统环境的PATH增加OpenSSL的bin文件完整目录
测试运行

OpenSSL常用命令

1、对称加密

对称加密需要使用的标准命令为 enc ，用法如下：
openssl enc -ciphername [-in filename] [-out filename] [-pass arg] [-e] [-d] [-a/-base64]
[-A] [-k password] [-kfile filename] [-K key] [-iv IV] [-S salt] [-salt] [-nosalt] [-z] [-md]
[-p] [-P] [-bufsize number] [-nopad] [-debug] [-none] [-engine id]
in filename：指定要加密的文件存放路径

out filename：指定加密后的文件存放路径

salt：自动插入一个随机数作为文件内容加密，默认选项

e：可以指明一种加密算法，若不指的话将使用默认加密算法

d：解密，解密时也可以指定算法，若不指定则使用默认算法，但一定要与加密时的算法一致

a/-base64：使用-base64位编码格式

2、单向加密

单向加密需要使用的标准命令为 dgst ，用法如下：
openssl dgst [-md5|-md4|-md2|-sha1|-sha|-mdc2|-ripemd160|-dss1] [-c] [-d] [-hex] [-binary]
[-out filename] [-sign filename] [-keyform arg] [-passin arg] [-verify filename] [-prverify
filename] [-signature filename] [-hmac key] [file...]
[-md5|-md4|-md2|-sha1|-sha|-mdc2|-ripemd160|-dss1] ：指定一种加密算法

out filename：将加密的内容保存到指定文件中

3、生成密码

生成密码需要使用的标准命令为 passwd ，用法如下：
openssl passwd [-crypt] [-1] [-apr1] [-salt string] [-in file] [-stdin] [-noverify] [-quiet] [-table] {password}
常用选项有：
1：使用md5加密算法

salt string：加入随机数，最多8位随机数

in file：对输入的文件内容进行加密

stdion：对标准输入的内容进行加密

4、生成随机数

生成随机数需要用到的标准命令为 rand ，用法如下：
openssl rand [-out file] [-rand file(s)] [-base64] [-hex] num
out file：将生成的随机数保存至指定文件中

base64：使用base64 编码格式

hex：使用16进制编码格式

5、生成密钥对

首先需要先使用 genrsa 标准命令生成私钥，然后再使用 rsa 标准命令从私钥中提取公钥。

genrsa 的用法如下：openssl genrsa [-out filename] [-passout arg] [-des] [-des3] [-idea] [-f4] [-3] [-rand file(s)] [-engine id] [numbits]
out filename：将生成的私钥保存至指定的文件中

des|-des3|-idea：不同的加密算法

numbits：指定生成私钥的大小，默认是2048

ras 的用法如下：
openssl rsa [-inform PEM|NET|DER] [-outform PEM|NET|DER] [-in filename] [-passin arg] [-out filename] [-passout arg]
[-sgckey] [-des] [-des3] [-idea] [-text] [-noout] [-modulus] [-check] [-pubin] [-pubout] [-engine id]
in filename：指明私钥文件

out filename：指明将提取出的公钥保存至指定文件中

pubout：根据私钥提取出公钥