Ubuntu安裝OpenSSL指的是什么

這篇文章給大家介紹Ubuntu安裝OpenSSL指的是什么，內容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

一、OpenSSL簡單介紹

    OpenSSL 是一個強大的安全套接字層密碼庫，囊括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協議，并提供豐富的應用程序供測試或其它目的使用。

    SSL是Secure Sockets Layer（安全套接層協議）的縮寫，可以在Internet上提供秘密性傳輸。SSL能使用戶/服務器應用之間的通信不被攻擊者竊聽，并且始終對服務器進行認證，還可選擇對用戶進行認證。SSL協議要求建立在可靠的傳輸層協議(TCP)之上。

二、安裝相應軟件包

$ sudo apt-get install apache2      ##安裝Apache$ sudo apt-get install openssl      ##安裝openssl$ sudo apt-get install libssl-dev    ##安裝openssl開發庫$ sudo apt-get install bless       ##編輯器使用 bless 十六進制編輯器,需預先安裝

三、openssl.cnf簡單釋義

$ vi /usr/lib/ssl/openssl.cnf
127 [ req_distinguished_name ]128 countryName                     = Country Name (2 letter code)##國家名，2個字母代碼簡稱129 countryName_default             = CN   ##中國就是CN130 countryName_min                 = 2
131 countryName_max                 = 2
132 
133 stateOrProvinceName             = State or Province Name (full name)##州或省的名字134 stateOrProvinceName_default     = beijing
135 
136 localityName                    = Locality Name (eg, city)   ##本地城市名137 localityName_default            =beijing
138 0.organizationName              = Organization Name (eg, company) ##組織(公司)名139 0.organizationName_default      = beijing www company
140 
145 organizationalUnitName          =Organizational Unit Name(eg,section)##組織單元(部門)名146 organizationalUnitName_default  = www
147
148 commonName                      = Common Name(e.g.server FQDN or YOUR name)##服務器域名149 commonName                      = www.baidu.com
150 commonName_max                  = 64
151 
152 #emailAddress                   = Email Address      ##Email地址153 emailAddress                    = admin@baidu.com
154 emailAddress_max                = 64
155 
156 # SET-ex3                       = SET extension number 3157 
158 [ req_attributes ]159 #challengePassword              = A challenge password   ##修改密碼160 challengePassword               = 161 
163 challengePassword_min           = 4
164 challengePassword_max           = 20

四、成為數字證書認證機構（CA），并為該CA生成證書

①將openssl.cnf配置文件拷貝到當前目錄下并創建以下在配置文件中指定的子文件夾

$ sudo ln /usr/lib/ssl/openssl.cnf .       $ mkdir demoCA                                          
$ cd demoCA                                            
$ mkdir certs crl newcerts                        
$ touch index.txt serial  ##index.txt為空；
                          ##serial必須寫入內容，且為字符串格式的數字（比如1111)

設置好這些后，現在就可以創建和發布證書了

②為自己的 CA 生成自簽名證書，這意味著該機構是被信任的，而它的證書會作為 root 證書

$ openssl req -new -x509 -keyout ca.key -out ca.crt -config openssl.cnf

注:務必記住自己所輸入的密碼，命令輸出的文件存儲：ca.key 與 ca.crt 中。文件 ca.key 包括 CA 的私鑰，而 ca.crt 包含了公鑰證書。

五、為客戶生成證書

   現在，我們是 root CA 了，可以為客戶簽數字證書了，客戶是www.baidu.com。

①生成公開/私有密鑰對

$ openssl genrsa -des3 -out server.key 1024

注:需要提供一個密碼來保護你的密鑰,密鑰會被保存在 server.key 文件中.

②生成證書簽名請求 ，一旦公司擁有了密鑰文件，它應當生成證書簽名請求（CSR）。CSR 將被發送給 CA，CA 會為該請求生成證書（通常在確認 CSR 中的身份信息匹配后）。

$ openssl req -new -key server.key -out server.csr -config openssl.cnf

注:請記住自己的輸入

③生成證書。CSR 文件需要擁有 CA 的簽名來構成證書（在現實世界中，CSR 文件常常被發送給可信任的 CA 簽名）。輸入CA的密鑰，使用我們自己的 CA 來生成證書：

$ openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

六、在網站中使用PKI

①

$ sudo vi /etc/hosts
127.0.0.1    www.baidu.com

②啟動一個擁有之前生成的證書的簡單的 web 服務器

$ cp server.key server.pem
$ cat server.crt >> server.pem           ##將密鑰和證書合并成一個文件$ openssl s_server -cert server.pem -www    ##使用server.pem啟動服務器

③默認情況下，服務器會監聽 4433 端口。輸入https://www.baidu.com:4433

注:提示此連接不受信任是因為我們的CA是自簽名的，如是VeriSign 之類的 CA 授權的話就不會出現該情況了。

在這里可以配置讓火狐接受我們的自簽名(其他瀏覽器大同小異)，配置如下：

菜單—>首選項—>高級—>證書—>查看證書(證書管理器)—>導入—>進入你配置openssl的目錄，選擇ca.crt—>打開(下載證書)—>勾上“信任使用此CA標識的網站”—>確定，然后刷新網站

關于Ubuntu安裝OpenSSL指的是什么就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。