Chinaunix首页 | 论坛 | 博客

ELM's Blogwenzk.blog.chinaunix.net

首页 |  博文目录 |  关于我

wenzk

  • 博客访问: 7740488
  • 博文数量: 637
  • 博客积分: 10265
  • 博客等级: 上将
  • 技术积分: 6165
  • 用 户 组: 普通用户
  • 注册时间: 2004-12-12 22:00
文章分类

全部博文(637)

文章存档

2011年(1)

2010年(1)

2009年(3)

2008年(12)

2007年(44)

2006年(156)

2005年(419)

2004年(1)

我的朋友
最近访客
推荐博文
相关博文
CA建置工具:Openssl的管理與使用介紹(上)

分类: 系统运维

2005-05-23 21:24:10

CA工具

《資訊安全》

  CA建置工具:Openssl的管理與使用介紹(上)

    陸維肇

      編按:為建立一套更為安全之資訊使用機制,中心PC Farm小組不
    斷整合並利用各種可行之軟體工具,進行相關之研發,以期能提供
    同仁更多好用之使用軟體與環境。有關資訊安全之議題在今日資訊
    網路發達之情況下,更顯得益形重要,對此,該小組成員近日完成
    建置CA之免費軟體openssl相關之研究就與探討,並將成果推廣予同
    仁分享。本文首對此一軟體工具與機制作介紹,其後將另有相關說
    明內容分享同仁。

    前言

      openssl為目前廣為在unix/linux平台上做為使用建制CA(Certificate
    Authority)的免費軟體,它除了提供建制CA的基礎功能以外,使用
    者也可以使用openssl來做文件加解密、簽章認證等應用。本文中將
    分別從CA Server管理者與一般User兩方面,來介紹如何使用openssl
    與相關工具。

      在CA server方面,介紹如何建置一個CA Server、如何簽發及報
    廢 certificate、以及CA簽證policy的設定;在一般User方面,則
    包括private key的製作、申請certificate、驗證certificate的有
    效性以及一般性的應用,如文件的加解密、簽章與驗證等。

      另外,在建置CA時,亦介紹setupCA這套tools,它係以openssl為
    基礎,來幫助管理者更方便地完成CA的建置。

      為了讓讀者能很快地瞭解openssl的使用方式,筆者將在本文中的
    每個實際範例之解說後,附上操作指令,以幫助讀者能夠順利的完
    成整個操作的過程。如果操作指令長度超過一行,則會於行末處加
    上一反斜線(“”),以表示次行仍為指令,每個指令後附上指令
    參數的說明。例如:

    使用user之private key在文件上簽名:

    openssl smime -sign -inkey user.key -signer user.pem -in test.txt-out test.sig

    -sign:簽章
    -inkey:user的private key
    -signer:user.pem--使用的certificate
    -in:欲簽署的文件
    -out:包含簽章的文件

      上面的例子中,第一行「使用user之private key在文件上簽名」
    說明了這個指令的功能,接著「openssl smime -sign -inkey user.key
    -signer user.pem -in test.txt  -out test.sig」則是完整的指
    令行,而在指令行中第一行行末出現的反斜線“”,其代表次行仍
    是該指令的一部分,最後則說明了指令中各option所代表的功能說
    明。

      另,本文中指令內的option可能需要檔案名稱作為該option之參
    數,茲將本文指令中所用之檔名代表含意說明如下:

    ca-key.pem:CA server的private key;
    ca-cert.pem:CA server的certificate;
    ca.config:CA server的設定檔;
    mykey.pem:使用者之private key;
    mycsr.pem:使用者所提出的 signing request檔案;
    mycert.pem:在server端,為使用者產生之certificate檔名、
                在user端,為使用者之certificate;
    test.txt:所要簽章或加密之文件檔;
    test.sig:簽章後的文件檔;
    test.msg:加密後之文件檔。

    相關資源

      本文所使用的軟體包括:openssl-0.9.7-beta2以及setupCA-1.1,
    使用者可以在以下網址找到相關資源:

    openssl: 
    setupCA: 
    本地下载: setupCA-1.1.zip
    軟體安裝

    1. openssl安裝

      安裝openssl前,系統必須已安裝Perl 5、以及ANSI C compiler。
      請下載openssl-0.9.7-beta2.tar.gz並解開後,開始下列的安裝
       步驟:

    $ ./config
    $ make
    $ make install

      openssl內定會安裝在/usr/local/ssl,如果欲安裝在其它路徑,
       例如 /usr/local,在 config時,可以進行如下設定:

    $ ./config --prefix=/usr/local --openssldir=/usr/local/openssl

       詳細的安裝步驟,請連線至下列網址
       
       逕行參閱。

    2. setupCA安裝

      請下載setupCA-1.1.tar.gz並解開後,直接執行install.sh進行
       安裝,作業方式如下:

    $ ./install.sh

      其預設安裝之路徑在/usr/local/catools之目錄下;相關之tools
       則放置在/usr/local/catools/bin目錄下。

    建置CA與實際咦
阅读(1327) | 评论(0) | 转发(0) |
0

上一篇:加密概念和PKI基础知识简述

下一篇:CA建置工具Openssl的管理與使用介紹(下)

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6