原文:https://blog.51cto.com/xxrenzhe/1370114
廢話不多說丸凭,先上圖
說明1:藍(lán)色部分為主要流程钙蒙,×××箭頭指向具體的操作步驟
什么是openssl
1. 為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議茵瀑,囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議躬厌,并提供了豐富的應(yīng)用程序供測(cè)試或其它目的使用马昨;
2. openssl只是OpenSSL開源套件中的多功能命令工具;
3. OpenSSL套件的組成部分有:
libcrypto:通用功能的加密庫
libssl:用于實(shí)現(xiàn)TSL/SSL功能的庫扛施;
openssl:多功能命令工具
為什么需要OpenSSL
1. 網(wǎng)絡(luò)通信時(shí)存在大量的數(shù)據(jù)交互偏陪,若沒有一套完整的數(shù)據(jù)加密解密機(jī)制,將導(dǎo)致敏感信息和數(shù)據(jù)遭到泄露煮嫌,網(wǎng)絡(luò)安全通信也就無從談起;
2. 幸運(yùn)的是OpenSSL這組套件提供了這方面的強(qiáng)大功能抱虐,而且還是開源程序昌阿,現(xiàn)已廣泛使用在現(xiàn)在網(wǎng)絡(luò)通信機(jī)制中;
3. 通過在一定范圍內(nèi)部署一臺(tái)CA(Certificate Authority)服務(wù)器恳邀,可以實(shí)現(xiàn)局域網(wǎng)內(nèi)的證書認(rèn)證和授權(quán)懦冰,保證數(shù)據(jù)傳輸?shù)陌踩裕灰部梢酝ㄟ^具體的部署實(shí)踐谣沸,了解國際上大型CA機(jī)構(gòu)的工作原理刷钢,為企業(yè)級(jí)的證書管理提供知識(shí)積累。
本篇博客的主要內(nèi)容
? ?此次只是在局域網(wǎng)內(nèi)部署CA服務(wù)器乳附,可以了解數(shù)據(jù)加密内地、解密過程,以及公鑰在網(wǎng)絡(luò)中的安全傳遞赋除;若是企業(yè)級(jí)應(yīng)用阱缓,則需要向?qū)I(yè)的CA機(jī)構(gòu)購買其服務(wù),獲得國際認(rèn)可的證書举农。
數(shù)據(jù)的加密解密過程
說明1:藍(lán)色是主要加密解密過程荆针;黑色一般是說明注釋內(nèi)容
說明2:上圖說明的是用戶Bob需要和Alice通信,并傳遞給Alice數(shù)據(jù)颁糟,為實(shí)現(xiàn)安全通信的加密解密過程
CA的工作流程
說明1:藍(lán)色部分主要是證書申請(qǐng)和分發(fā)過程航背,×××部分主要是用戶間證書認(rèn)證過程,黑色部分是解釋說明文字
openssl實(shí)現(xiàn)私有CA(見第一張圖)說明
說明2:當(dāng)企業(yè)(或用戶)發(fā)現(xiàn)自己的私鑰被盜取后丟失了棱貌,則會(huì)向CA機(jī)構(gòu)發(fā)出證書失效的申請(qǐng)玖媚,則此時(shí)CA機(jī)構(gòu)就會(huì)吊銷此證書,才需要執(zhí)行吊銷證書的相關(guān)操作
