2017 09-11 安全和加密的应用

一.CA和证书

(一)概念:
(1)PKI: Public Key Infrastructure
(2)签证机构:CA(Certificate Authority)
(3)注册机构:
RA 证书吊销列表:
CRL 证书存取库: 
X.509:定义了证书的结构以及认证协议标准
版本号 序列号 签名算法 颁发者 有效期限 主体名称 主体公钥 CRL分发点 扩展信息 发行者签名
(二)证书的获取
证书类型: 证书授权机构的证书 服务器 用户证书 
获取证书两种方法:
• 使用证书授权机构 生成签名请求(csr) 将csr发送给CA 从CA处接收签名
• 自签名的证书 自已签发自己的公钥

实验:搭建ca

首先CA路径为/etc/pki/CA,对应的配置文件为 /etc/pki/tls/openssl.cnf,根据配置文件的格式进行创建


image.png

image.png

步骤:在centos7中搭建证书
(1)首先要创建
touch /etc/pki/CA/index.txt——必须先创建此文件,内容可以为空,但是必须有这个文件
touch /etc/pki/CA/serial ——创建第一个序列号,内容不能为空 echo 99(或01,序号随便设置)> /etc/pki/CA/serial
(2)先生成私钥 (umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem -des3 1024)——该格式是根据配置文件的格式设置的,要求私钥的目录在private下,并且以.pem后缀。安全起见将文件权限设置为600,通过数字签名加密算法对文件签名,生成的私钥才对称的加密算法生成。
(3)生成自签名证书(用私钥匙生成证书)
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days -7300 -out /etc/pki/CA/cacert.pem——申请生成自签名证书,设置默认有效期为两年


image.png

此时在centos7中自签名证书已搭建好,将文件导入windows中,查看
image.png

此时,点击安装证书,点击下一步,选择证书安装路径,然后选择证书存储为如图
image.png

然后按照提示选择即可
(4)颁发证书
在centos6中生成私钥,它需要被颁发证书
(umask 066; openssl genrsa -out /etc/pki/tls/private/app.key -des3 -1024)
申请生成文件证书:
openssl req -new -key /etc/pki/tls/private/app.key -days 3650 -out /etc/pki/tls/app.csr
该文件需要发给centos7进行审核,所以需要些申请文件,申请时间可以不写,因为需要centos7来确定有效时间
注意事项:
countryName = 写的国家名字必须和centos7中的写的一样
stateOrProvinceName = 省市必须相同
organizationName = 公司名必须一样
(5)将文件发给centos7审核 scp app.csr 192.168.136.170:/etc/pki/CA
(6)CA签署证书,并将证书发给申请者
openssl ca -in /etc/pki/CA/app.csr /etc/pki/CA/certs/app.crt -days 3650
给申请的文件颁发证书,并人为指定有效期为十年
(7)将生成的证书文件发给centos6
scp /etc/pki/CA/certs/app.crt 192.168.136.134:/etc/pki/tls/certs


image.png

将申请的证书导出到windows,查看
image.png

image.png

(8)查看证书信息
openssl x509 -in app.crt -noout -text:查看所有信息
openssl ca -status serial:查看序列号状态
image.png

实验2:生成一个子根证书

步骤:
(1)在centos6中,同样先创建
touch /etc/pki/CA/index.txt
echo 01 > /etc/pki/CA/serial
(2)生成私钥
(umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem -des3 1024)
(3)申请证书文件
openssl req -new -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/subca.csr
(4)发给centos7进行审核
scp subca.csr 192.168.136.170:/etc/pki/CA
(5)在centos7上,进行审核并颁发证书
openssl ca -in subca.csr -out /etc/pki/CA/certs/subca.crt -days 3650
(6)生成后,scp subca.crt 192.168.136.134:/etc/pki/CA/cacert.pem



(7)sz该证书到windows中来查看
image.png

image.png

实验3:

当不想要这些证书时,删除证书的步骤
(1)首先创建吊销文件序列号
echo 01 > /etc/pki/CA/crlnumber
(2)openssl ca -revoke /etc/pki/CA/newcerts/99.pem——序列号
(3)更新证书吊销列表
openssl ca -in /etc/pki/CA/crl/crl.pem
(4)最后通过查看吊销列表来确定是否删除成功
openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text

二.ssh应用

ssh:安全远程登录 使用的默认的端口为22

(一)具体的软件实现:
OpenSSH: ssh协议的开源实现,CentOS默认安装
dropbear:另一个开源实现 
(二)SSH协议版本
v1: 基于CRC-32做MAC,不安全;man-in-middle
v2:双方主机协议选择安全的MAC方式
基于DH算法做密钥交换,基于RSA或DSA实现身份认证 
ssh的配置文件分为客户端配置文件和服务端配置文件
客户端:/etc/ssh/ssh_config
服务端:/etc/ssh/sshd_config
(三)ssh的用法
ssh -p:指定端口连接
ssh -b :指定以某ip地址来连接远程ip:ssh -b 192.168.136.178 192.168.136.177——用178的地址来连接其他ip(针对客户端主机上一个网卡设置两个ip地址的情况)
(四)登录方式:
基于用户登录口令实现
基于KEY的实现
(1)基于用户登录
需要输入口令
实现原理
1 客户端发起ssh请求,服务器会把自己的公钥发送给用户 
2 用户会根据服务器发来的公钥对密码进行加密 
3 加密后的信息回传给服务器,服务器用自己的私钥解密, 如果密码正确,则用户登录成功,不正确则要重新验证
(2)基于key的验证
步骤
1 在客户端生成密钥对
ssh-keygen -t rsa -p ' '(表示不加密) -f——后跟路径,可以不写默认路径为~/.ssh/id_rsa
2 把公钥文件传输到要连接的服务器的家目录
ssh-copy-id -i .ssh/id_rsa.pub root@192.168.136.134
3 对私钥加密 ssh-keygen -p
设置成功后以后再连接其他远程主机的时候只需要输入私钥密码即可

image.png

4 如果私钥密码也不想输入,可以临时开启一个代理,只需要第一次连接后输入一次私钥密码,以后连接就不需要了
ssh-agent bash
ssh-add
image.png

实验在xshell中实现基于key的方式登录

1打开x-shell软件的工具选项,选择如图


image.png

2 选择秘钥类型
image.png

3 自动生成随机数后,点击下一步
image.png

4 设置加密口令,和用户名称并保存文件到桌面上


image.png

5 通过rz命令将文件导入x-shell 通过cp id_rsa_1024_用户名 .ssh/autorized_keys
6选择用户登录方式
image.png

基于ssh端口转发的应用

(一)ssh的作用:
SSH 会自动加密和解密所有 SSH 客户端与服务端之间的网络数据。 但是,SSH 还能够将其他 TCP 端口的网络数据通过 SSH 链接来转发 ,并且自动提供了相应的加密及解密服务。这一过程也被叫做“隧道” (tunneling),这是因为 SSH 为其他 TCP 链接提供了一个安全的通 道来进行传输而得名。例如,Telnet,SMTP,LDAP 这些 TCP 应用均 能够从中得益,避免了用户名,密码以及隐私信息的明文传输。而与此 同时,如果工作环境中的防火墙限制了一些网络端口的使用,但是允许 SSH 的连接,也能够通过将 TCP 端口转发来使用 SSH 进行通讯 
SSH 端口转发能够提供两大功能: •
加密 SSH Client 端至 SSH Server 端之间的通讯数据 •
突破防火墙的限制完成一些之前无法建立的 TCP 连接
(1)远程转发
设计拓扑关系,以三个主机为例子,主机分为A,B,C。其中A主机为外部主机,B作为跳转机,C为目标主机
实验目的:
假设B与C在同一个局域网中,中间有防火墙作为保护,而A属于外网中的一个主机,它无法直接连接C机器,所以通过SSH策略来实现
实现步骤:
1 首先选择3个虚拟机,centos7,centos6,redhat5
2 检查三个主机之间的联通,centos6为外部主机,在centos7中对centos6开启防火墙策略:iptables -A INPUT -s 192.168.25.188 -j REJECT
3 确认redhat5没有9527端口打开,此时在该虚拟机上执行
ssh -R 9527:192.168.25.199:25 -Nf 192.168.25.188
此时9527端口会在centos6中打开,而不是在本机上打开
4 在centos6中执行telnet 127.0.0.1 9527

5此时‘隧道建立成功’,centos6可以通过redhat5突破防火墙的设置与7进行连接
image.png

image.png

(2)本地转发
以centos7作为外部主机,以redhat5作为中间跳转机
1 首先在centos6上对centos7设置防火墙策略
iptables -A INPUT -s 192.168.25.199 -j REJECT
此时centos6无法直接和centos7连接
2 在centos7本机上执行ssh -L 9527:192.168.25.188:23 -Nf 192.168.25.80
3 telnet 127.0.0.1 9527
image.png

(3)动态端口转发:
实现功能:当用firefox访问internet时,本机的1080端口做为代理服务 器,firefox的访问请求被转发到sshserver上,由sshserver 替之访问internet
1 在centos7对centos6设置防火墙策略,使6无法连接
2 在6上执行 ssh -D 1080(端口) 192.168.25.80(redhat5)
3 执行 curl --socks5 127.0.0.1 http://192.168.25.199
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,816评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,729评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,300评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,780评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,890评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,084评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,151评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,912评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,355评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,666评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,809评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,504评论 4 334
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,150评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,882评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,121评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,628评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,724评论 2 351

推荐阅读更多精彩内容

  • CA和证书安全协议(SSL/TLS)OpenSSH 一、CA和证书 (一) PKI(Public Key Infr...
    哈喽别样阅读 1,386评论 0 0
  • 1 概述 本文之所以称之为半自动化,是因为证书的申请并非日常工作,只是一段时间才需要申请,同时,在创建证书和办法证...
    ghbsunny阅读 2,147评论 0 1
  • 天 灰蒙蒙的 伴随着微风 在这炎热的夏季 竟给我一丝寒意 我无法去形容 前几天的 大雨滂沱 泥沙俱下 就差 将这个...
    杨诗柒阅读 110评论 0 0
  • 心灵成长,并不是要你学会粉饰太平,不是要你学会压抑情绪以虚假平静。 心灵成长也不否定有负面情绪或者挫折感罪恶感的存...
    花开见佛笑阅读 437评论 0 0
  • 从今年的三月到现在,我一共瘦了十二斤。我把这个消息公布在朋友圈以后,除了“一方有难,八方点赞”的损友党,大部分女孩...
    XSP薛老爷阅读 257评论 0 6