文档介绍:OpenSSL张海剑姜凡周雪强稳芝沿诅鼻潍砌联骨舍草磅私距金乱瓤渡顺榜尧殿贼赌趣灵址墨困揭妇麓OpenSSLOpenSSL前言一、什么是OpenSSLOpenSSL是一个开放源代码的SSL协议的产品实现,它采用C语言作为开发语言,具备了跨系统的性能,支持Linux、Unix、Windows、Mac和VMS等多种平台。OpenSSL最早的版本在1995年发布,1998年后开始由OpenSSL项目组维护和开发。,完全实现了对SSLv1、SSLv2、SSLv3和TLS的支持。。目前,OpenSSL已经得到了广泛的应用,许多类型的软件中的安全部分都使用了OpenSSL的库,如VOIP的OpenH323协议、Apache服务器、Linux安全模块等等。喳盘果押肝宰揖伙自凑至捻钝楞邯崭能弟遣道缔陇秀筋咱方蛇秸铃慧飘艾OpenSSLOpenSSL二、OpenSSL的组成虽然OpenSSL使用SSL作为其名字的重要组成部分,但其实现的功能确远远超出了SSL协议本身。OpenSSL事实上包括了三部分:SSL协议、密码算法库和应用程序库。SSL协议部分完全实现和封装了SSL协议的三个版本和TLS协议,SSL协议库的实现是在密码算法库的基础上实现的。使用该库,你完全可以建立一个SSL服务器和SSL客户端。密码算法库是一个强大完整的密码算法库,它是OpenSSL的基础部分,也是很值得一般密码安全技术人员研究的部分,它实现了目前大部分主流的密码算法和标准。主要包括公开密钥算法、对称加密算法、散列函数算法、X509数字证书标准、PKCS12、PKCS7等标准。事实上,OpenSSL的SSL协议部分和应用程序部分都是基于这个库开发的。捣铸积袱选稳咙愧唁椰嚏挺窄寺系何椭巾在姨矣忱赦铃松晋嘱衬闽帛简管OpenSSLOpenSSL目前,这个库除了可以使用本身的缺省算法外,,还提供了Engine机制,用于将如加密卡这样外部的加密算法实现集成到OpenSSL中。应用程序部分是OpenSSL最生动的部分,也是OpenSSL使用入门部分。该部分基于上述的密码算法库和SSL协议库实现了很多实用和范例性的应用程序,覆盖了众多的密码学应用。主要包括了各种算法的加密程序和各种类型密钥的产生程序(如RSA、Md5、Enc等等)、证书签发和验证程序(如Ca、X509、Crl等)、SSL连接测试程序(如S_client和S_server等)以及其它的标准应用程序(如Pkcs12和Smime等)。在某些时候,不需要做二次开发,仅仅使用这些应用程序便能得到我们的应用要求,比如采用Ca程序就能基本上实现一个小型的CA功能。突梭少吹哑喊势蓝铁嗣咏念蛮件沏二惶敲霸敞浆醋渗***念旅夫紊悟楞猾十OpenSSLOpenSSL三、基于OpenSSL的应用基于OpenSSL指令的应用基于OpenSSL加密库和协议库的应用基于OpenSSL指令的应用很容易,只要安装好了OpenSSL,就可以开始使用了。最简单的应用就是使用Req、CA以及X509指令来签发一个证书了,该证书可以用于各种目的,比如很多Apache服务器就是使用OpenSSL的指令生成的证书作为服务器证书。基于OpenSSL函数库的应用相比与基于OpenSSL指令的应用开发的工作量会大很多,但这并不意味着其应用会更少。事实上,基于OpenSSL的应用大部分是这种方式的,这种方式使得开发者能够根据自己的需求灵活地进行选择,而不必受OpenSSL有限的指令的限制。购页啸***屹辫给吩傅缅弘猩贪黔的洗蔓矫灿惶羌米瑶癸蓑莽腮铀率幂俩拔OpenSSLOpenSSLCA的目录结构一、创建自己的CA辗姆汀昆漓啸貌阻叠步棱泼啸避淹烧迄余盔少膳景浪鹊秤康喊细虱泪族辐OpenSSLOpenSSLcerts目录:存放的是有效的用户证书,,每一个用户对应一个证书。这些证书已经被CA签名了,是有效的。证书的具体格式在后面会有叙述和实例。Crl目录:在这个目录中存放的是证书撤销列表,。。所有这些撤销列表合起来记录了所有的被撤销的用户证书。证书撤销列表的具体格式见后面的分析。newcerts:在这个目录中存放的是那些等待被CA签名的用户证书,这些证书还是没有被签名的,暂时无效。不过这些用户的申请信息已经告知了CA系统,系统管理员可以通过对这些信息的分析,决定是否对这个证书签名,使其生效。private:这个目录中存放的是所有用户包括CA的私钥,。。这个目录起到一个简单的密钥归档作用。啄嗽邦携砸合舞腔缘处峨屎丛等甫宵啮羽江嘱俺岔冲逗容朔火铣颓浪饲振OpenSSL