openssl命令详解

OpenSSL是一个安全套接字层密码库，其包括常用的密码算法、常用的密钥生成和证书封装管理功能及SSL协议，并提供了丰富的应用程序以供测试。

OpenSSL是一个开源的项目，其由三个部分组成：

1、openssl命令行工具；轮液数腊首

2、libencrypt加密算法库；

3、libssl加密模块应用库；

这里主要学习下openssl命令工具的用法，openssl命令工具有两种运行模式： 交换模式 和 批处理模式 。直接输入openssl回车即可进入交互模式，而输入带命令选项的openssl命令则进行批处理模式。

利用OpenSSL作对称加密需要使用其子命令enc，其用法为：

其中常用的选项为：

使用案例 ：

OpenSSL单向加密的子命令为dgst，其语法如下：

其常用的选项为：

单向加密除了 openssl dgst 工具还有： md5sum，sha1sum，sha224sum，sha256sum ，sha384sum，sha512sum

使用案例 ：

或

OpenSSL还支持生成密码的hash离散值，其子命令为passwd，语法如下：

常用选项为：

使用案例 ：

openssl命令也支持生成随机数，其子命令为rand，对应的语法为：

常用选项有：

使用案例 ：

利用openssl命令的子命令genrsa生成私钥，然后再使用子命令rsa私钥中提取公钥。

genrsa的语法如下：

通常来说秘钥文件的权限一般只能由管理员访问，因此可以结合umask命令来设置生成的密钥文件的权限，如：

而随后可利用rsa子命令生成的私钥文件中提取公钥，rsa子命令的语法为：

常用选项为：

-in FILENAME：指明私钥文件的存放路径；

-out FILENAME：指明将公钥的保存路径；

-pubout：根据提供的私钥，从中提取出公钥；

如：

在使用OpenSSL命令创建证书前，可查看配置文件/etc/pki/tls/openss.conf文件，查看该文件定义了的证书存放位置及名称。

1）创建自签证书

首先为CA提供所需的目录及文件，并指明证书的开始编号：

随后生成私钥，注意私钥的文件名及其存放的位置，需与配置文件中相匹配：

最后创建自签证书：

其埋基中命令 openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650 用到子命令为req，其为证书请求及生成的工具，用到的选项解释为：

2）颁发证书

通常来说在CA签署颁发证书需要进行以下步骤：

上述命令用到了openssl命令的子命令CA，用于在CA服务器上签署或吊销证书。

上述查看证书使用了openssl命令的子命令x509，其选项解释为：

3）吊销证书

吊销证书的步骤通常为：

-gencrl选项为根据/etc/pki/CA/index.txt文件中的信息生成crl文件。

win7系统怎么启动openssl-win32

使用VS2005下的Visual Studio 2005 Command Prompt进入控制台模式坦颤（这个模式会自动设置各种环境变量）

、解压让袭败缩openssl的包,进入openssl的目录

、perl configure VC-WIN32

尽量在这个目录下执行禅培该命令，否则找不到Configure文件，或者指定完整的Configure文件路径。

、ms\do_ms

在解压目录下执行ms\do_ms命令

、nmake -f ms\ntdll.mak编译后在openssl解压目录下执行，完成编译后。输出的文件在out32dll里面，包括应用程序的可执行文件、lib文件和dll文件

注意：在运行第五步时，cl编译器会抱怨说.\crypto\des\enc_read.c文件的read是The POSIX name for this item is deprecated（不被推荐的），建议使用_read。呵呵，我可不想将OpenSSL中的所有的read函数修改为_read。再看cl的错误代码 error C2220，于是上MSDN上查找：

warning treated as error - no object file generated

/WX tells the compiler to treat all warnings as errors. Since an error occurred, no object or executable file was generated.

是由于设置了/WX选项，将所有的警告都作为错误对待，所以。。。

于是打开OpenSSL目录下的MS目录下的ntdll.mak文件，将CFLAG的/WX选项去掉，存盘。

本文是使用 OpenSSL 的密码学基础知识的两篇文章中的第一篇，OpenSSL 是在 Linux 和其他系统上流行的生产级库和工具包。（要安装 OpenSSL 的最新版本，请参阅 这里 。）OpenSSL 实用程序可在命令行使用，程序也可以调用 OpenSSL 库中的函数。本文的示例程序使用的是 C 语言，即 OpenSSL 库的源语言。

本系列的两篇文章涵盖了加密哈希、数字签名、加密和解密以及数字证书。你可以从 我的网站 的 ZIP 文件中找到这些代码和命令行示例。

让我们首先回顾一下 OpenSSL 名称中的 SSL。

安全套接字层 (Secure Socket Layer)（SSL）是 Netscape 在 1995 年发布的一种加密协议。该协议层可以位于 HTTP 之上，从而为 HTTPS 提供了 S： 安全(secure)。SSL 协议提供了各种安全服务，其中包括两项在 HTTPS 中至关重要的服务：

SSL 有多个版本（例如 SSLv2 和 SSLv3），并且在 1999 年出现了一个基于 SSLv3 的类似协议 传输层安全性(Transport Layer Security)（TLS）。TLSv1 和 SSLv3 相似，但不足以相互配合工作。不过，通常将 SSL/TLS 称为同一协议。例如，即使正在使用的是 TLS（而非 SSL），OpenSSL 函数也经常在名称中包含 SSL。此外，调用 OpenSSL 命令行实用程序以 openssl 开始。

除了 man 页面之外基腔，OpenSSL 的文档是零零散散的，鉴于 OpenSSL 工具包很大，这些页面很难以查找使用。命令行和代码示例可以将主要主题集中起来。让我们从一个熟悉的示例开始（使用 HTTPS 访问网站），然后使用该示例来选出我们感兴趣的加密部分进行讲述。

此处显示的 client 程序通过 HTTPS 连接到 Google：

可以从命令行编译和执行该程序（请注意 -lssl 和 -lcrypto 中的小写字母 L）：

该程序尝试打开与网站 www.google.com 的安全连接。在与 Google Web 服务器的 TLS 握手过程中，client 程序会收到一个或多个数字证书，该程序会尝试对其进行验证（但在我的系统上失败了）。尽管如此，client 程序仍继续通过安全通道获取 Google 主页。该程序取决于前面提到的安全工件，尽管在上述代码中只着重突出了数字证书。但其它工件仍在幕后发挥作用，稍后将对它们进行详细说明。

通常，打开 HTTP（非安全）通道的 C 或 C++ 的客户端程序将使用诸如文件描述符或缺盯网络套接字之类的结构，它们是两个进程（例如，这个 client 程序和 Google Web 服务器）之间连接的端点。另一方面，文件描述符是一个非负整数值，用于在程序中标识该程序打开的任何文件类的结构。这样的程序还将使搏扮衫用一种结构来指定有关 Web 服务器地址的详细信息。

这些相对较低级别的结构不会出现在客户端程序中，因为 OpenSSL 库会将套接字基础设施和地址规范等封装在更高层面的安全结构中。其结果是一个简单的 API。下面首先看一下 client 程序示例中的安全性详细信息。

在与 Web 服务器握手期间，client 程序会接收一个或多个数字证书，以认证服务器的身份。但是，client 程序不会发送自己的证书，这意味着这个身份验证是单向的。（Web 服务器通常配置为 不 需要客户端证书）尽管对 Web 服务器证书的验证失败，但 client 程序仍通过了连接到 Web 服务器的安全通道继续获取 Google 主页。

为什么验证 Google 证书的尝试会失败？典型的 OpenSSL 安装目录为 /etc/ssl/certs，其中包含 ca-certificates.crt 文件。该目录和文件包含着 OpenSSL 自带的数字证书，以此构成 信任库(truststore)。可以根据需要更新信任库，尤其是可以包括新信任的证书，并删除不再受信任的证书。

client 程序从 Google Web 服务器收到了三个证书，但是我的计算机上的 OpenSSL 信任库并不包含完全匹配的证书。如目前所写，client 程序不会通过例如验证 Google 证书上的数字签名（一个用来证明该证书的签名）来解决此问题。如果该签名是受信任的，则包含该签名的证书也应受信任。尽管如此，client 程序仍继续获取页面，然后打印出 Google 的主页。下一节将更详细地介绍这些。

让我们从客户端示例中可见的安全工件（数字证书）开始，然后考虑其他安全工件如何与之相关。数字证书的主要格式标准是 X509，生产级的证书由诸如 Verisign 的 证书颁发机构(Certificate Authority)（CA）颁发。

数字证书中包含各种信息（例如，激活日期和失效日期以及所有者的域名），也包括发行者的身份和数字签名（这是加密过的加密哈希值）。证书还具有未加密的哈希值，用作其标识指纹。

哈希值来自将任意数量的二进制位映射到固定长度的摘要。这些位代表什么（会计报告、小说或数字电影）无关紧要。例如， 消息摘要版本 5(Message Digest version 5)（MD5）哈希算法将任意长度的输入位映射到 128 位哈希值，而 SHA1（ 安全哈希算法版本 1(Secure Hash Algorithm version 1)）算法将输入位映射到 160 位哈希值。不同的输入位会导致不同的（实际上在统计学上是唯一的）哈希值。下一篇文章将会进行更详细的介绍，并着重介绍什么使哈希函数具有加密功能。

数字证书的类型有所不同（例如根证书、中间证书和最终实体证书），并形成了反映这些证书类型的层次结构。顾名思义，根证书位于层次结构的顶部，其下的证书继承了根证书所具有的信任。OpenSSL 库和大多数现代编程语言都具有 X509 数据类型以及处理此类证书的函数。来自 Google 的证书具有 X509 格式，client 程序会检查该证书是否为 X509_V_OK。

X509 证书基于 公共密钥基础结构(public-key infrastructure)（PKI），其中包括的算法（RSA 是占主导地位的算法）用于生成密钥对：公共密钥及其配对的私有密钥。公钥是一种身份： Amazon 的公钥对其进行标识，而我的公钥对我进行标识。私钥应由其所有者负责保密。

成对出现的密钥具有标准用途。可以使用公钥对消息进行加密，然后可以使用同一个密钥对中的私钥对消息进行解密。私钥也可以用于对文档或其他电子工件（例如程序或电子邮件）进行签名，然后可以使用该对密钥中的公钥来验证签名。以下两个示例补充了一些细节。

在第一个示例中，Alice 将她的公钥分发给全世界，包括 Bob。然后，Bob 用 Alice 的公钥加密邮件，然后将加密的邮件发送给 Alice。用 Alice 的公钥加密的邮件将可以用她的私钥解密（假设是她自己的私钥），如下所示：

理论上可以在没有 Alice 的私钥的情况下解密消息，但在实际情况中，如果使用像 RSA 这样的加密密钥对系统，则在计算上做不到。

现在，第二个示例，请对文档签名以证明其真实性。签名算法使用密钥对中的私钥来处理要签名的文档的加密哈希：

假设 Alice 以数字方式签署了发送给 Bob 的合同。然后，Bob 可以使用 Alice 密钥对中的公钥来验证签名：

假若没有 Alice 的私钥，就无法轻松伪造 Alice 的签名：因此，Alice 有必要保密她的私钥。

在 client 程序中，除了数字证书以外，这些安全性都没有明确展示。下一篇文章使用使用 OpenSSL 实用程序和库函数的示例填充更多详细的信息。

同时，让我们看一下 OpenSSL 命令行实用程序：特别是在 TLS 握手期间检查来自 Web 服务器的证书的实用程序。调用 OpenSSL 实用程序可以使用 openssl 命令，然后添加参数和标志的组合以指定所需的 *** 作。

看看以下命令：

该输出是组成 加密算法套件(cipher suite)()的相关算法的列表。下面是列表的开头，加了澄清首字母缩写词的注释：

下一条命令使用参数 s_client 将打开到 www.google.com 的安全连接，并在屏幕上显示有关此连接的所有信息：

诸如 Google 之类的主要网站通常会发送多个证书进行身份验证。

输出以有关 TLS 会话的摘要信息结尾，包括加密算法套件的详细信息：

client 程序中使用了协议 TLS 1.2，Session-ID 唯一地标识了 openssl 实用程序和 Google Web 服务器之间的连接。Cipher 条目可以按以下方式进行解析：

加密算法套件正在不断发展中。例如，不久前，Google 使用 RC4 流加密算法（RSA 的 Ron Rivest 后来开发的 Ron’s Cipher 版本 4）。 RC4 现在有已知的漏洞，这大概部分导致了 Google 转换为 AES128。

我们通过安全的 C Web 客户端和各种命令行示例对 OpenSSL 做了首次了解，使一些需要进一步阐明的主题脱颖而出。 下一篇文章会详细介绍 ，从加密散列开始，到对数字证书如何应对密钥分发挑战为结束的更全面讨论。

via: https://opensource.com/article/19/6/cryptography-basics-openssl-part-1

作者： Marty Kalin 选题： lujun9972 译者： wxy 校对： wxy

---