51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

OpenSSL:最好的SSL TLS加密库

作者:金步国
安全 数据安全
OpenSSL项目的目的是通过开源合作精神开发一种健壮的、可以和同类型商业程序媲美的、全功能的,且开源的应用于SSL v2/v3(Secure Sockets Layer)和TLS v1(Transport Layer Security)协议的普遍适用的加密库工具集。

OpenSSL项目的目的是通过开源合作精神开发一种健壮的、可以和同类型商业程序媲美的、全功能的,且开源的应用于SSL v2/v3(Secure Sockets Layer)和TLS v1(Transport Layer Security)协议的普遍适用的加密库工具集。本项目由世界范围内的志愿者们维护,他们通过互联网联络、计划和开发OpenSSL工具集及其相关文档。

下载链接:http://down.51cto.com/data/155531

>>去网络安全工具百宝箱看看其它安全工具

系统需求

OpenSSL可以在多种操作系统上安装,但是本文只讨论在Linux或BSD系统上的安装。

安装OpenSSL的系统需求很低,只要有 ANSI C 编译器(推荐GCC)、Perl 5 、make 即可。但是OpenSSL的测试程序依赖于GNU BC,如果你需要运行测试程序的话,就要事先安装好它。

编译选项

将下载回来的压缩包解压,进入解压后的目录,即可使用 config 或 Configure 脚本进行配置。OpenSSL的配置脚本与大多数典型的软件包不同,它有自己的一套规则。详细的安装信息位于源码树下的 INSTALL Configure(特别是"PROCESS_ARGS"段) Makefile.shared Makefile.org 文件中。安装后的使用与配置信息位于 doc 目录中, FAQ 文件也可以提供一些参考。

config 脚本检查系统环境并调用 Configure 完成配置,因此配置选项是通过 config 脚本向 Configure 传递的。事实上 config 脚本的作用相当于 config.guess ,所以如果你想直接调用 Configure 的话就一定要正确指定"操作系统-目标平台"(笔者推荐这个用法)。所有可用的目标机器列表可以使用"./Configure LIST"命令获取。Configure 脚本除了根据 Makefile.org 生成 Makefile 之外,还在 crypto/opensslconf.h 中定义了许多宏(基于 crypto/opensslconf.h.in)。

在 config 或 Configure 命令行上可以使用许多选项,大体上可以分为3类。

全局选项

第一类是全局性选项:

--openssldir=OPENSSLDIR

安装目录,默认是 /usr/local/ssl 。

--prefix=PREFIX

设置 lib include bin 目录的前缀,默认为 OPENSSLDIR 目录。

--install_prefix=DESTDIR

设置安装时以此目录作为"根"目录,通常用于打包,默认为空。

zlib

zlib-dynamic

no-zlib

使用静态的zlib压缩库、使用动态的zlib压缩库、不使用zlib压缩功能。

threads

no-threads

是否编译支持多线程的库。默认支持。

shared

no-shared

是否生成动态连接库。

asm

no-asm

是否在编译过程中使用汇编代码加快编译过程。

enable-sse2

no-sse2

启用/禁用SSE2指令集加速。如果你的CPU支持SSE2指令集,就可以打开,否则就要关闭。

gmp

no-gmp

启用/禁用GMP库

rfc3779

no-rfc3779

启用/禁用实现X509v3证书的IP地址扩展

krb5

no-krb5

启用/禁用 Kerberos 5 支持

ssl

no-ssl

ssl2

ssl3

no-ssl2

no-ssl3

tls

no-tls

启用/禁用 SSL(包含了SSL2/SSL3) TLS 协议支持。

dso

no-dso

启用/禁用调用其它动态链接库的功能。[提示]no-dso仅在no-shared的前提下可用。

[提示]为了安装Apache的mod_ssl成功,SSLv2/SSLv3/TLS都必须开启。

算法选项

第二类用于禁用crypto目录下相应的子目录(主要是各种算法)。虽然理论上这些子目录都可以通过"no-*"语法禁用,但是实际上,为了能够最小安装libcrypto,libssl,openssl,其中的大部分目录都必须保留,实际可选的目录仅有如下这些:

no-md2,no-md4,no-mdc2,no-ripemd

这些都是摘要算法,含义一目了然。

no-des,no-rc2,no-rc4,no-rc5,no-idea,no-bf,no-cast,no-camellia

这些都是对称加密算法,含义一目了然。"bf"是"Blowfish"的意思。

no-ec,no-dsa,no-ecdsa,no-dh,no-ecdh

这些都是不对称加密算法,含义一目了然。

no-comp

数据压缩算法。因为目前实际上并没有压缩算法,所以只是定义了一些空接口。

no-store

对象存储功能。更多细节可以查看 crypto/store/README 文件。

[提示]OpenSSH 只依赖于该软件包的加密库(libcrypto),而带有 HTTPS 支持的 Apache 则依赖于该软件包的加密库和 SSL/TLS 库(libssl)。因此,如果你不打算使用 HTTPS 的话,可以只安装加密库(no-ssl no-tls);更多介绍可以查看 README 文件的"OVERVIEW"部分。事实上,为了能够让OpenSSH安装成功,ripemd,des,rc4,bf,cast,dsa,dh目录不能被禁止。

编译器选项

第三类是编译器选项。大多数软件包都是通过在运行 configure 脚本的时候定义 CPPFLAGS CFLAGS LDFLAGS 环境变量来设置编译选项的,但是OpenSSL却不是这样。OpenSSL的 Configure 脚本允许你在命令行上直接输入 CPPFLAGS CFLAGS 的内容。比如:-DDEVRANDOM='"/dev/urandom"' 可以用来指定随机设备, -DSSL_FORBID_ENULL 则可以用于禁止使用NULL加密算法。`echo $CFLAGS` 则可以将 CFLAGS 变量添加上来。另一方面,LDFLAGS却是无法通过Configure进行设置的。因为Configure会强制清空Makefile中的LDFLAGS,所以在运行完Configure之后,可以使用一个sed修改所有Makefile中的 LDFLAGS(用于连接openssl)和SHARED_LDFLAGS(用于连接libcrypto,libssl库)。

比如笔者就经常这样使用 Configure 进行配置:

./Configure ... -DSSL_FORBID_ENULL -DDEVRANDOM='"/dev/urandom"' `echo $CFLAGS`

find . -name "Makefile*" -exec sed -r -i -e"s|^(SHARED_)?LDFLAGS=|& $LDFLAGS |" {} \;

[提示]不能省略find命令内"Makefile*"两边的引号。

编译、测试、安装

配置完毕后,需要使用 make depend 重新建立依赖关系,特别是你使用了"no-*"选项之后,否则编译可能会失败。

然后使用 make 命令编译。如果编译成功,那么最好使用 make test 进行一下测试。

如果测试也通过了,那么接下来就是安装了。安装很简单,一条 make install 命令即可。你还可以使用 make install INSTALL_PREFIX=/other/dir 来将 /other/dir 当作"根"进行安装,这通常用于打包。

配置文件

安装完毕之后,接下来就是配置。OpenSSL的配置文件是 openssl.cnf ,位于 --openssldir 指定的目录下。

在实践中,OpenSSL 的一个重要用途就是证书签发和管理,这需要配置文件的配合。如果你只是使用它的加密库,而不使用证书功能的话,就不需要了解如何配置OpenSSL 。

下面是一个简单的 openssl.cnf 文件,已经可以用于证书签发了。当然,这份配置用来自己玩玩还行,指望用这个去做真正的"Big Brother",没人会信你 :)

  1. ########################  
  2. # OpenSSL 配置文件示范 #  
  3. ########################  
  4. # [注意]这个示范文件并不是默认设置。  
  5.  
  6.  
  7. ########  
  8. # 语法 #  
  9. ########  
  10. #  
  11. # 变量 = 值  
  12. #  
  13. # 语法很简单,一看就懂,但是有几点需要说明:  
  14. # 1. 字符串值最好使用双引号界定,并且其中可以使用"\n","\r","\t"这些转义序列("\"怎么表示?)。  
  15. # 2. 可以使用 ${变量名} 的形式引用同一字段中的变量,使用 ${字段名::变量名} 的形式引用其它字段中的变量。  
  16. # 3. 可以使用 ${EVP::环境变量} 的形式引用操作系统中定义的环境变量,若变量不存在则会导致错误。  
  17. # 4. 可以在默认字段定义与操作系统环境变量同名的变量作为默认值来避免环境变量不存在导致的错误。  
  18. # 5. 如果在同一字段内有多个相同名称的变量,那么后面的值将覆盖前面的值。  
  19. #  
  20.  
  21.  
  22. ############  
  23. # 默认字段 #  
  24. ############  
  25. # 此部分是默认字段[配置段],必须放在所有字段之前。  
  26. # 读取配置文件数据时,会首先根据字段名称去寻找相应的配置段,如果没有找到则会使用这里的默认字段。  
  27.  
  28. # 定义 HOME 的默认值,防止操作系统中不存在 HOME 环境变量。  
  29. HOME = .  
  30.  
  31. # 默认的随机数种子文件,建议设置为 /dev/random 或 /dev/urandom  
  32. RANDFILE = $ENV::HOME/.rnd  
  33.  
  34. # 扩展对象定义  
  35. # 比如,OpenSSL中并未定义X.509证书的扩展项,在使用到的时候就会从下面对扩展对象的定义中获取。  
  36. # 定义的方法有两种,第一种(反对使用)是存储在外部文件中,也就是这里"oid_file"变量定义的文件。  
  37. #oid_file = $ENV::HOME/.oid  
  38. # 第二种是存储在配置文件的一个字段中,也就是这里"oid_section"变量值所指定的字段。  
  39. oid_section = new_oids 
  40.  
  41. [ new_oids ]  
  42. # 可以在这里添加扩展对象的定义,例如可以被'ca'和'req'使用。  
  43. # 格式如下:  
  44. # 对象简称 = 对象数字ID  

 #p#

  1. ############################################################################################################  
  2. ####################  
  3. ##  证书请求配置  ##  
  4. ####################  
  5. # 在申请证书之前通常需要首先生成符合 PKCS#10 标准的证书请求封装格式。  
  6. # openssl 的 req 指令实现了产生证书请求的功能,其相关选项的默认值就来自于这里的设置。  
  7. # 证书请求的配置分成几个字段,包括一个基本字段和几个附属字段。  
  8.  
  9.  
  10. ##### 证书请求配置的"基本字段",其它附属字段都以它为入口 #####  
  11. [ req ]  
  12.  
  13. # 生成的证书中RSA密钥对的默认长度,取值是2的整数次方。建议使用4096以上。  
  14. default_bits = 1024 
  15.  
  16. # 保存生成的私钥文件的默认文件名  
  17. default_keyfile = privkey.pem  
  18.  
  19. # 生成的私钥文件是否采用口令加密保护,可以设为yes或no。  
  20. encrypt_key = yes 
  21.  
  22. # 读取输入私钥文件时的口令,如果未设置那么将会提示输入。  
  23. input_password = secret 
  24. # 保存输出私钥文件时的口令,如果未设置那么将会提示输入。  
  25. output_password = secret 
  26.  
  27. # 签名默认使用的信息摘要算法,可以使用:md5,sha1,mdc2,md2  
  28. default_md = md5 
  29.  
  30. # 为一些字段设置默认的字符串类型,比如证书请求中的城市和组织名称。可能的取值和解释如下:  
  31. # default: 包含了 PrintableString, T61String, BMPString 三种类型  
  32. # pkix  : 包含了 PrintableString, BMPString 两种类型  
  33. # utf8only: 只使用 UTF8 字符串。推荐使用这个,这样可以完美的包含任意字符。  
  34. # nombstr : 包含了 PrintableString, T61String 两种类型(不使用 BMPStrings 或 UTF8String 两种多字节字符类型)  
  35. string_mask = nombstr 
  36.  
  37. # 如果设为yes,那么不管是命令行还是配置文件中的字符串都将按照UTF-8编码看待。默认值no表示仅使用ASCII编码。  
  38. utf8 = no 
  39.  
  40. # 如果设为no,那么 req 指令将直接从配置文件中读取证书字段的信息,而不提示用户输入。  
  41. prompt = yes 
  42.  
  43. # 定义输入用户信息选项的"特征名称"字段名,该扩展字段定义了多项用户信息。  
  44. distinguished_name = req_distinguished_name 
  45.  
  46. # 定义证书请求属性的字段名,该扩展字段定义了证书请求的一些属性,但openssl的证书签发工具并不使用它们。  
  47. attributes = req_attributes 
  48.  
  49. # 证书请求扩展的字段名,该扩展字段定义了要加入到证书请求中的一系列扩展项。  
  50. req_extensions = v3_req 
  51.  
  52. # 生成自签名证书时要使用的证书扩展项字段名,该扩展字段定义了要加入到证书中的一系列扩展项。  
  53. x509_extensions = v3_ca 
  54.  
  55.  
  56. ##### "特征名称"字段包含了用户的标识信息 #####  
  57. [ req_distinguished_name ]  
  58. countryName = CN  #只能使用2字母的国家代码  
  59. stateOrProvinceName = 省份或直辖市名称  
  60. organizationName = 组织名  
  61. commonName = 网站的全限定域名  
  62.  
  63.  
  64. ##### 证书请求属性字段定义了证书请求的一些属性(都不是必须的) #####  
  65. [ req_attributes ]  
  66.  
  67.  
  68. ##### 要加入到证书请求中的一系列扩展项 #####  
  69. [ v3_req ]  
  70. basicConstraints = CA:FALSE  
  71. keyUsage = nonRepudiation, digitalSignature, keyEncipherment  
  72.  
  73.  
  74. #### 生成自签名证书时使用的证书扩展项 #####  
  75. ### 因为这部分是非必须的,所以不翻译了,事实上你完全可以删除这部分内容  
  76. [ v3_ca ]  
  77. # PKIX recommendation.  
  78. subjectKeyIdentifier = hash 
  79. authorityKeyIdentifier = keyid:always,issuer:always  
  80.  
  81. # This is what PKIX recommends but some broken software chokes on critical  
  82. # extensions.  
  83. #basicConstraints = critical,CA:true  
  84. # So we do this instead.  
  85. basicConstraints = CA:true  
  86.  
  87. # Key usage: this is typical for a CA certificate. However since it will  
  88. # prevent it being used as an test self-signed certificate it is best  
  89. # left out by default.  
  90. keyUsage = cRLSign, keyCertSign  
  91.  
  92. # Some might want this also  
  93. nsCertType = sslCA, emailCA  
  94.  
  95. # Include email address in subject alt name: another PKIX recommendation  
  96. subjectAltName = email:copy  
  97. # Copy issuer details  
  98. issuerissuerAltName = issuer:copy  
  99.  
  100. # DER hex encoding of an extension: beware experts only!  
  101. obj=DER:02:03  
  102. # Where 'obj' is a standard or added object  
  103. # You can even override a supported extension:  
  104. basicConstraints = critical, DER:30:03:01:01:FF  

 

 #p#

  1. ############################################################################################################  
  2. ####################  
  3. ##  证书签发配置  ##  
  4. ####################  
  5. # openssl 的 ca 指令实现了证书签发的功能,其相关选项的默认值就来自于这里的设置。  
  6.  
  7. # 这个字段只是通过唯一的default_ca变量来指定默认的CA主配置字段的入口(-name 命令行选项的默认值)  
  8. [ ca ]  
  9. default_ca = CA_default 
  10.  
  11.  
  12. ##### 默认的CA主配置字段 #####  
  13. [ CA_default ]  
  14.  
  15. # 保存所有信息的文件夹,这个变量只是为了给后面的变量使用  
  16. dir = ./demoCA  
  17.  
  18. # 存放CA本身根证书的文件名  
  19. certificate = $dir/cacert.pem  
  20.  
  21. # 存放CA自身私钥的文件名  
  22. private_key = $dir/private/cakey.pem  
  23.  
  24. # 签发证书时使用的序列号文本文件,里面必须包含下一个可用的16进制数字。  
  25. serial = $dir/serial  
  26.  
  27. # 存放新签发证书的默认目录,证书名就是该证书的系列号,后缀是.pem  
  28. new_certs_dir = $dir/newcerts  
  29.  
  30. # 已生成的证书的默认保存目录  
  31. certs = $dir/certs  
  32.  
  33. # 保存已签发证书的文本数据库文件,初始时为空。  
  34. database = $dir/index.txt  
  35.  
  36. # 存放当前CRL编号的文件,对于v1版本的CRL则必须注释掉该行  
  37. crlnumber = $dir/crlnumber  
  38.  
  39. # 当前CRL文件  
  40. crl = $dir/crl.pem  
  41.  
  42. # 生成的证书撤销列表(CRL)的默认保存目录  
  43. crl_dir = $dir/crl  
  44.  
  45. # 同一个subject是否只能创建一个证书,设为no表示可以创建多个  
  46. unique_subject = yes 
  47.  
  48. # 签发新证书以及CRL时默认的摘要算法,可以使用:md5,md2,mdc2,sha1  
  49. default_md = sha1 
  50.  
  51. # 通常,证书签发的特征名称(DN)域的各个参数顺序与证书策略的参数顺序一致。  
  52. # 但是,如果这里设为yes则保持与证书请求中的参数顺序一致。  
  53. preserve = no 
  54.  
  55. # 当用户需要确认签发证书时显示可读证书DN域的方式。可用值与 x509 指令的 -nameopt 选项相同。  
  56. name_opt = ca_default 
  57. # 当用户需要确认签发证书时显示证书域的方式。  
  58. # 可用值与 x509 指令的 -certopt 选项相同,不过 no_signame 和 no_sigdump 总被默认设置。  
  59. cert_opt  = ca_default 
  60.  
  61. # 新证书默认的生效日期,如果未设置则使用签发时的时间,格式为:YYMMDDHHNNSSZ(年月日时分秒Z)  
  62. default_startdate = 080303223344Z 
  63. # 新证书默认的失效日期,格式为:YYMMDDHHNNSSZ(年月日时分秒Z)  
  64. default_enddate = 090303223344Z 
  65. # 新签发的证书默认有效期,以天为单位  
  66. default_days = 365 
  67.  
  68. # 从当前CRL(证书撤销列表)到下次CRL发布的间隔天数  
  69. default_crl_days = 30 
  70.  
  71. # 是否将证书请求中的扩展项信息加入到证书扩展项中去。取值范围以及解释:  
  72. # none: 忽略所有证书请求中的扩展项  
  73. # copy: 将证书扩展项中没有的项目复制到证书中  
  74. # copyall: 将所有证书请求中的扩展项都复制过去,并且覆盖证书扩展项中原来已经存在的值。  
  75. copy_extensions = none 
  76.  
  77. # 定义用于证书请求DN域匹配策略的字段,用于决定CA要求和处理证书请求提供的DN域的各个参数值的规则。  
  78. policy  = policy_match 
  79.  
  80. # 定义X.509证书扩展项的字段。如果没有提供这个字段则生成X.509v1而不是v3格式的证书。  
  81. x509_extensions = usr_cert 
  82.  
  83. # 定义生成CRL时需要加入的扩展项字段。如果没有定义则生成v1而不是v2版本的CRL。  
  84. crl_extcrl_extensions = crl_ext  
  85.  
  86.  
  87. ##### 证书请求信息的匹配策略 #####  
  88. # 变量名称是DN域对象的名称,变量值可以是:  
  89. # match: 该变量在证书请求中的值必须与CA证书相应的变量值完全相同,否则拒签。  
  90. # supplied: 该变量在证书请求中必须提供(值可以不同),否则拒签。  
  91. # optional: 该变量在证书请求中可以存在也可以不存在(相当于没有要求)。  
  92. # 除非preserve=yes或者在ca命令中使用了-preserveDN,否则在签发证书时将删除匹配策略中未提及的对象。  
  93. [ policy_match ]  
  94. countryName  = match 
  95. stateOrProvinceName = match 
  96. organizationName = match 
  97. commonName  = supplied 
  98. organizationalUnitName = optional 
  99. emailAddress  = optional 
  100.  
  101. ### 下面的部分由于都是非必须的部分,因此也不翻译了。  
  102. ### 事实上你完全可以从配置文件中删除这些内容  
  103. [ usr_cert ]  
  104.  
  105. # These extensions are added when 'ca' signs a request.  
  106.  
  107. # This goes against PKIX guidelines but some CAs do it and some software  
  108. # requires this to avoid interpreting an end user certificate as a CA.  
  109.  
  110. basicConstraints=CA:FALSE  
  111.  
  112. # Here are some examples of the usage of nsCertType. If it is omitted  
  113. # the certificate can be used for anything *except* object signing.  
  114.  
  115. # This is OK for an SSL server.  
  116. nsCertType   = server 
  117.  
  118. # For an object signing certificate this would be used.  
  119. nsCertType = objsign 
  120.  
  121. # For normal client use this is typical  
  122. nsCertType = client, email  
  123.  
  124. # and for everything including object signing:  
  125. nsCertType = client, email, objsign  
  126.  
  127. # This is typical in keyUsage for a client certificate.  
  128. keyUsage = nonRepudiation, digitalSignature, keyEncipherment  
  129.  
  130. # This will be displayed in Netscape's comment listbox.  
  131. nsComment   = "OpenSSL Generated Certificate" 
  132.  
  133. # PKIX recommendations harmless if included in all certificates.  
  134. subjectKeyIdentifier=hash 
  135. authorityKeyIdentifier=keyid,issuer  
  136.  
  137. # This stuff is for subjectAltName and issuerAltname.  
  138. # Import the email address.  
  139. subjectAltName=email:copy  
  140. # An alternative to produce certificates that aren't  
  141. # deprecated according to PKIX.  
  142. subjectAltName=email:move  
  143.  
  144. # Copy subject details  
  145. issuerissuerAltName=issuer:copy  
  146.  
  147. #nsCaRevocationUrl  = http://www.domain.dom/ca-crl.pem  
  148. #nsBaseUrl  
  149. #nsRevocationUrl  
  150. #nsRenewalUrl  
  151. #nsCaPolicyUrl  
  152. #nsSslServerName  
  153.  
  154. [ crl_ext ]  
  155.  
  156. # CRL extensions.  
  157. # Only issuerAltName and authorityKeyIdentifier make any sense in a CRL.  
  158.  
  159. issuerissuerAltName=issuer:copy  
  160. authorityKeyIdentifier=keyid:always,issuer:always  
  161.  
  162.  
  163.  
  164. [ proxy_cert_ext ]  
  165. # These extensions should be added when creating a proxy certificate  
  166.  
  167. # This goes against PKIX guidelines but some CAs do it and some software  
  168. # requires this to avoid interpreting an end user certificate as a CA.  
  169.  
  170. basicConstraints=CA:FALSE  
  171.  
  172. # Here are some examples of the usage of nsCertType. If it is omitted  
  173. # the certificate can be used for anything *except* object signing.  
  174.  
  175. # This is OK for an SSL server.  
  176. nsCertType   = server 
  177.  
  178. # For an object signing certificate this would be used.  
  179. nsCertType = objsign 
  180.  
  181. # For normal client use this is typical  
  182. nsCertType = client, email  
  183.  
  184. # and for everything including object signing:  
  185. nsCertType = client, email, objsign  
  186.  
  187. # This is typical in keyUsage for a client certificate.  
  188. keyUsage = nonRepudiation, digitalSignature, keyEncipherment  
  189.  
  190. # This will be displayed in Netscape's comment listbox.  
  191. nsComment   = "OpenSSL Generated Certificate" 
  192.  
  193. # PKIX recommendations harmless if included in all certificates.  
  194. subjectKeyIdentifier=hash 
  195. authorityKeyIdentifier=keyid,issuer:always  
  196.  
  197. # This stuff is for subjectAltName and issuerAltname.  
  198. # Import the email address.  
  199. subjectAltName=email:copy  
  200. # An alternative to produce certificates that aren't  
  201. # deprecated according to PKIX.  
  202. subjectAltName=email:move  
  203.  
  204. # Copy subject details  
  205. issuerissuerAltName=issuer:copy  
  206.  
  207. #nsCaRevocationUrl  = http://www.domain.dom/ca-crl.pem  
  208. #nsBaseUrl  
  209. #nsRevocationUrl  
  210. #nsRenewalUrl  
  211. #nsCaPolicyUrl  
  212. #nsSslServerName  
  213.  
  214. # This really needs to be in place for it to be a proxy certificate.  
  215. proxyCertInfo=critical,language:id-ppl-anyLanguage,pathlen:3,policy:foo  

 

责任编辑:佚名 来源: 网络整理
OpenSSL
相关推荐
Proftpd使用TLS/SSL
ProFTPD是一个Unix平台、或Unix类(如Linux,FreeBSD等)FTP服务器程序,它是在自由软件基金会版权声明下开发、发布的免费软件,即任何只要遵守自由软件基金会版权声明的人,都可以修改源始码。前面我们讲给过vsftpd的SSL配置部分,现在讲下Proftpd的使用TLSSSL情况!

2011-03-08 14:14:31

Proftpd
TLS/SSL高级进阶
TLSSLL是现在网络安全通信比较重要的一环,通过一些列的key交换和key生成,最终确立加密通道的整个流程。众所周知,TLSSSL耗费的时间也是挺可观的,相对于TCP的3次RTT来说,如果加上TLSSSL,则总的RTT时间至少为4次。虽然看起来很多,但如果相对于现在的网络环境来说,大概也就每次2030ms,这样算下来,估计也就100ms左右。

2016-10-31 10:25:24

SSL/TLS协议流行起来:深度解读SSL/TLS实现
SSLTLS协议是网络安全通信的重要基石,本系列将简单介绍SSLTLS协议,主要关注SSLTLS协议的安全性,特别是SSL规范的正确实现。本系列的文章大体分为3个部分...

2015-05-13 09:45:13

HTTPS再爆漏洞 企业需升级SSL/TLS加密算法
随着CBC和RC4加密算法的相继“沦陷”,依赖SSLTLS的企业需要引起高度重视,选择更安全的加密算法。

2013-03-26 10:03:20

聊一聊 TLS/SSL
聪明的小伙伴肯定会想到:只要能证明对方有私钥就行了!也就是说浏览器用证书(即公钥)加密一个数据,然后发送给对方;如果对方有私钥,那就能解密这个数据并返回给浏览器,那浏览器就知道对方身份了。

2023-09-22 17:36:37

无需花一分钱:轻松获取SSL证书三种方法
OpenSSL是一个强大的开源加密库,它提供了各种密码学功能,包括对称加密、非对称加密、数字证书、消息摘要等。它也包含了SSL和TLS协议的实现,因此可以用于安全地传输数据和建立安全的通信连接。

2024-04-01 00:00:00

SSL证书开源
SSLTLS部署实践指南
在TLS中,所有安全性都以服务器的加密身份开始,这就需要一个强大的私钥来防止威胁。同样重要的是拥有一个有效和强大的证书,它会授予私钥来代表一个特定的主机名。

2019-03-11 08:19:39

SSLTLS服务器
PureFTPd防火墙和SSL/TLS
Pureftpd是一款在多种类Unix上使用并符合GPL协议的原代码开放的软件,顾名思义,它就是一款纯粹的Ftp程序。今天为大家带来的是PureFTPd的防火墙和SSLTLS方面的知识。

2011-03-04 09:30:56

PureFTPdTLS防火墙
RC4攻击:RC4加密算法能否保护SSL/TLS?
RC4中的一个漏洞允许攻击者从使用RC4加密的TLS连接中恢复有限数量的纯文本内容。这种RC4攻击适用于支持该加密算法的所有版本的SSL和TLS。

2013-09-27 13:27:18

FileZilla Server建立安全SSL/TLS FTP(图)
FileZillaServer是一款免费的服务器软件,但是没有中文版本。应该如何配置FileZillaServer下的SSLTLS呢?本文介绍的就是FileZillaServer建立安全的SSLTLSFTP。

2011-03-07 15:16:40

FileZilla SSSLTLS
OpenSSL精粹:SSL证书、私钥和CSR
OpenSSL是一个多功能的命令行工具,可以用于与公钥基础设施(PKI)和HTTPS(HTTPoverTLS)相关的大量任务。这本小抄风格的指南提供了OpenSSL命令的快速参考,这些命令在常见的日常场景中非常有用。

2020-06-08 10:14:55

OpenSSLSSL证书Linux
SSL/TLS协议流行起来:深度解读SSL/TLS实现 - 网络·安全技术周刊第206期
window.location.href'http:www.51cto.comedmnetworkedmedm206150520.html';

2015-05-20 16:53:49

网络·安全技术周刊
假如让你来设计 SSL/TLS 协议
本文将从设计者的视角介绍如何一步步设计出一个简易版的SSLTLS的过程,在文章的最后,再简单介绍TLS1.2版本的工作机制,以此帮助大家对SSLTLS协议的基本原理有一个更深入的理解。

2022-03-05 18:25:51

SSLTLS协议
HTTPS那些协议:TLS, SSL, SNI, ALPN, NPN
如今HTTPS已经普遍应用了,在带来安全性的同时也确实给Web引入了更多复杂的概念。这其中就包括一系列从没见过的网络协议。现在Harttle从HTTPS的原理出发,尝试以最通俗的方式来解读HTTPS涉及的这些协议。

2018-03-26 14:19:49

如何利用SSL/TLS保护你Linux邮件服务
近来随着数据加密成为越来越多程序的共识,你需要安全套接层SecureSocketsLayer传输层安全性TransportLayerSecurity(SSLTLS)的安全证书来保护你的邮件服务。

2020-05-14 20:10:12

SSLTLSLinux
在Lotus Expeditor 中结合使用 TLS/SSL
本文并不是介绍TLSSSL及其所有功能的教程。可用于(并且应该用于)确保安全通信、最小化数据拦截和危害的方法有很多种,要完整地描述这些方法,需要一本书的篇幅,而且一些著作中已经有这方面的描述,读者自己可以去获得必要的专门知识。

2009-09-22 12:20:12

ibmdwLotus
使用 OpenSSL 加密和解密文件
OpenSSL是一个实用工具,它可以确保其他人员无法打开你的敏感和机密消息。

2021-05-08 05:56:15

加密OpenSSL密钥
关于SSL/TLS最新漏洞“受戒礼”初步报告
2015年3月26日,ItsikMantin阐述了利用存在了13年之久的RC4漏洞——不变性弱密钥进行的攻击,并命名为“受戒礼”攻击。直到2015年3月,还有约30%的网络通信是由RC4进行保护的,可能受到“受戒礼”攻击。

2015-04-02 10:26:52

如何在Node.js中使用SSL / TLS
在2020年,您的网站没有理由不使用HTTPS。访客期望它,Google将其用作排名因素,浏览器制造商很乐意于点名那些没有使用它的网站。在本教程中,我将引导您通过一个实际示例,

2020-08-05 08:31:51

SSL TLSNode.js
“历史遗留”漏洞:浅析新型SSL/TLS漏洞FREAK
最近安全研究人员发现一种新型SSLTLS漏洞。预计在十年内,数以百万计的苹果、安卓用户访问HTTPS网站时将可能遭受中间人进而被窃取账号和密码,即使这些网站使用了加密传输也无济于事。

2015-03-05 15:01:52

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服