openssl使用？java openssl

各位老鐵們好，相信很多人對openssl使用都不是特別的了解，因此呢，今天就來為大家分享下關于openssl使用以及java openssl的問題知識，還望可以幫助大家，解決大家的一些困惑，下面一起來看看吧！

openssl使用詳解

1.首先需要使用openssl生成一個2048位的密鑰rsa.key文件(rsa.key密鑰文件中包含了私鑰和公鑰)

2.然后從rsa.key密鑰文件中提取出公鑰pub.key

3.使用pub.key公鑰加密一個文件(data.zip為原始文件，back.zip為加密之后的文件)

4.使用rsa.key私鑰解密一個文件(back.zip為加密的文件，data.zip為解密之后的文件)

5.上面的加密對大文件就不適用了，可以考慮使用

解密使用

其中，mykey.bin可以使用命令生成

openssl命令行工具如何使用

我的做法是：

對于重要文本信息（比如各種敏感信息，恢復密鑰），先用Base64進行轉碼，然后再用對稱加密算法AES進行加密（密碼可以設置的長一點，增加破解難度），然后再對加密的結果base64轉碼為可見字符，然后復制粘貼發到自己的郵箱就可以了。這里推薦利用命令行工具openssl進行加解密，它封裝了各種常用加解密算法。

對于體積比較大的文件，以上方法就不合適了。不過仍然可以采用openssl的AES算法對文件進行加密，然后用7-zip打包壓縮上傳至云盤，這樣即使云盤被盜，也能最大限度保證信息安全。（如果對安全性有更高的要求，可以在打包壓縮的時再次加密，然后選擇分卷壓縮，并將壓縮包上傳至不同品牌的云盤）。

附錄：

openssl使用手冊

最后，多說一句：安全性和便捷性一直是矛盾的，要想獲得極致的安全性，那么隨之而來的將是惱人的繁瑣流程。所以，我說的辦法不一定完全適合題主，題主一定要權衡好。

如何使用openssl制作ca證書

最近做CA登陸，用到OpenSSL來制作證書，說真的，用OpenSSL的命令行制作證書的確不方便。

首先要安裝OpenSSL,然后在控制臺中輸入冗長的命令，一不小心還很容易出錯，就算是熟悉了命令行，多做了幾次還是會弄混淆命令的參數，基于以上原因

openssl如何使用

以Nginx對OpenSSL的使用為入口，來分析OpenSSL的API的模型。OpenSSL是兩個庫，如果以握手為目的只會使用libssl.so這個庫，但是如果有加密的需求，會使用libcrypto.so這個庫。Nginx中對于OpenSSL的使用大部分是直接使用的libssl.so的接口API的，但是仍然會有少部分使用libcrypto.so。除了Nginx，本章還會分析一個s_server程序，通過這個程序的設計，能夠對OpenSSL的內部架構有一個初探。

Nginx的Stream中SSL的實現

Nginx的StreamProxy中有對于SSL的Terminator的支持。這個終端的意思是可以在Nginx層面把SSL解掉，然后把明文傳輸給后端。也就是說支持SSL的Nginx的Stream模塊實際上是一個TLS的握手代理，將TLS信道在本地解了再發送到后端，所以整個過程是一個純粹的握手過程，至于ALPN這種功能就需要后端與TLS的配合才可以，所以這種行為在stream的SSL中是不能支持的。

這是一個Nginx的StreamSSL模塊相關的函數列表，主要的Stream模塊特有的功能也都就在這個列表里了。可以看到除去配置和模塊的整體初始化函數，只剩下一個連接初始化，ssl的入口handler和握手的handler。顯然握手的handler是入口handler的深入部分。鑒于Nginx的異步模型，可以很容易的想到是Nginx在收到一個連接的時候首先使用ssl_handler作為通用入口，在確定是SSL連接之后就會切換到handshaker_handler作為后續的握手handler函數。

但是Nginx在支持SSL的時候并不是這樣的輕松，因為大量的SSL相關函數在ngx_event_openssl.c文件里，這個文件里的函數被HTTP模塊和Stream模塊或者其他需要SSL支持的模塊共同使用。包括SessionCache等Nginx重新實現的OpenSSL功能。通過這個例子可以看到如果要自己實現一個SSL支持，我們需要兩個東西，一個是SSL的用戶端的接口封裝庫（ngx_event_openssl.c），一個是如何把封裝庫的邏輯嵌入到我們的代碼流程的邏輯。Nginx作為一個強大的負載均衡設備，這一部分的接口嵌入應該是要追求的最小化實現的。也就是說Stream模塊相關的代碼越少越好（ngx_stream_ssl_module.c）。所以我們可以看到幾乎就幾個鉤子函數的定義。

無論是Stream還是HTTP模式，整個TLS握手的核心函數都是ngx_ssl_handshake函數。我們看這個函數就能看到一個企業級的握手接口的使用案例。以下是一個簡化版的函數流程：

以上是一個同步版本的大體邏輯，異步版本的就沒有顯示。可以看到主要的SSL握手的入口函數是SSL_do_handshake。如果握手正常，函數返回1之后，使用SSL_get_current_cipher或得到服務器根據客戶端發來的密碼學參數的列表選擇得到的密碼學套件。這里會返回服務器選擇的那個，如果返回為空，那么就代表了服務器沒有找到匹配的套件，連接就不能繼續。SSL_CIPHER_description函數輸入活的指針，返回一個字符串格式的套件的描述信息，Nginx這里使用了這個信息，最后一步就是查找當前的SessionCache中是否有可以復用的邏輯。這里只是一個查詢，并不是就是復用的決定。因為是否復用是在連接建立之前由配置決定的，如果Nginx配置了不使用OpenSSL的SessionCache，這個查詢就會一直返回0，表示沒有被復用。而且這里查詢的OpenSSL中是否有復用，并不代表Nginx內部是否有復用，Nginx內部還有一套自己的SessionCache實現，但是使用SSL_開頭的API函數都是OpenSSL的接口。

這個簡單的接口可以看出對OpenSSL的API的使用的一些端倪。OpenSSL提供的API非常多，我們寫一個簡單的示例程序僅僅會用到幾個最簡單的接口，例如SSL_new等。但是一個正式的項目，會用到很多細節的API接口。由于OpenSSL只會暴露他認為應該暴露的API函數出來給調用者使用，其他的函數調用者是用不到的，并且OpenSSL內部的結構體外部也是不能使用的，所以使用者所有的行為都是要基于API進行設計。

OpenSSL分為libcrypto.so和libssl.so兩個庫。在使用TLS握手的時候，主要的調用API都位于ssl.h文件中定義，都是SSL_開頭的API。但是這并不意味著只能調用libssl.so的接口，高級的用戶并不是想要使用OpenSSL的TLS握手功能，完全可以直接調用libcrypto.so里面的各種各樣的密碼學庫。總的來說libssl.so是一個TLS握手庫，而libcrypto.so是一個通用的密碼學的庫。只是libssl.so的握手使用的密碼學是完全依賴libcryto.so中提供的。也就是因此，在使用TLS握手的時候，是基本上不會直接用到libcrypto.so中的API的。

s_server

openssls_server是一個簡單的SSL服務器，雖然說是簡單，但是其中包含了大部分用戶SSL編程需要考慮的東西。證書，密碼，過期校驗，密碼學參數定制，隨機數定制等等。這是一個功能性的程序，用于驗證openssl內部的各項SSL握手服務器的功能是否能夠正常使用，并不能用于直接服務于線上業務。

s_server程序啟動的第一步是解析各種參數，在正常運作的時候，第一步是加載key。

我們看到OpenSSL內部調用的函數和在使用OpenSSL庫接口的時候是不一樣的，OpenSSL的子程序會調用一些內部的接口。比如這里使用了ENGINE_init，直接初始化了底層的引擎系統。ENGINE系統是OpenSSL為了適配下層不同的數據引擎設計的封裝層。有對應的一系列API，所有的ENGINE子系統的API都是ENGINE_開頭的。一個引擎代表了一種數據計算方式，比如內核的密碼學套件可以有一個專門的OpenSSL引擎調用到內核的密碼學代碼，QAT硬件加速卡也會有一個專門的引擎，OpenSSL自己的例如RSA等加密算法的實現本身也是一個引擎。這里在加載key的時候直接初始化一個引擎，這個引擎在init之前還要先調用一個setup_engine函數，這個函數能夠設置這個將要被初始化的引擎的樣子。s_server之所以要自己用引擎的API接口是因為它支持從命令行輸入引擎的參數，指定使用的引擎。

可以看到，如果指定了auto，就會加載所有默認的引擎。如果指定了特定ID的引擎，就只會加載特定的引擎。一個引擎下面是所有相關的密碼學的實現，加載key就是一個密碼學層面的操作，所以也要使用ENGINE提供的接口。事實上，最后都是分別調用了對應的ENGINE的具體實現，這中間都是通過方法表的指針的方式完成的。ENGINE定義的通用的接口還有很多，這里只是用到了加載密鑰。

表內都是對不同的EVP_CIPHER和EVP_MD的接口的定義。

我們回到加載key的函數，繼續閱讀發現一個key=bio_open_default(file,'r',format);這個key是一個BIO類型的指針，這個BIO類型的指針就是另外一個OpenSSL的子系統，所有的IO操作都會被封裝到這個子系統之下。例如這里使用的文件IO，用于從文件中讀取key的結果。BIO被設計為一個管道式的系統，類似于Shell腳本中見到的管道的效果。有兩種類型的BIO，一種是source/sink類型的，就是我們最常見的讀取文件或者Socket的方式。另外一種是管道BIO，就是兩個BIO可以通過一個管道BIO連接起來，形成一個數據流。所以BIO的方式是一個很重量級的IO系統的實現，只是目前只是被OpenSSL內部使用的比較多。

繼續向下閱讀加載密鑰的函數，會發現PEM_read_bio_PrivateKey函數，這一步就是實際的從一個文件中讀取密鑰了。我們現在已經有了代表文件讀寫的BIO，代表密碼學在程序中的封裝EVP，中間缺的橋梁就是文件中密鑰存儲的格式。這里的以PEM_開頭的函數就代表了PEM格式的API。PEM是密碼學的存儲格式，PEM_開頭的API就是解析或者生成這種格式的API，當然它需要從文件中讀取，所以參數中也會有BIO的結構體，PEM模塊使用BIO模塊提供的文件服務按照定義的格式將密鑰加載到內存。

OpenSSL的所有apps都會共享一些函數，這些函數的實現都在一個apps.c文件中，以上的加載密鑰的函數也是其中的一個。s_server程序在調用完load_key之后會繼續調用load_cert來加載證書。load_cert使用的子系統與load_key非常類似，類似的還有后面的load_crl函數，CRL（Certificaterevocationlists）是CA吊銷的證書列表，這項技術已經基本被OCSP淘汰。OpenSSL還提供一個隨機數文件的功能，可以從文件中加載隨機數。

s_server在加載完相關的密碼學相關參數后，就會開始創建上下文，SSL_CTX_new函數的調用就代表了上下文的創建。這個上下文是后面所有SSL連接的母板，對SSL的配置設置都會體現在這個上下文的設置中。隨后，s_server會開始設置OpenSSL服務器支持的TLS握手版本范圍，分別調用SSL_CTX_set_min_proto_version和SSL_CTX_set_max_proto_version兩個函數完成所有操作。

OpenSSL在共享TLS握手的Session時，需要生成一個SessionID，默認的情況，OpenSSL會在內部決定SessionID怎么生成。但是也提供了用戶設置這個生成算法的API。s_server程序調用SSL_CTX_set_generate_session_id函數設置一個自己的回調函數，在這個回調函數中就可以完成SessionID的設置，從而取代掉OpenSSL自帶的內部SessionID的生成器。OpenSSL在證書協商的時候還會允許外部的庫使用者動態的修改采用的證書，這個機制是通過SSL_CTX_set_cert_cb來設置證書回調函數實現的。s_server也有這個函數的設置。程序走到這里，基本能看到OpenSSL的一個很大的特性，就是大部分的內部流程都會提供一個回調函數給使用者來注冊，使用者可以按照自己的需求取代掉或者修改OpenSSL內部的功能。顯然這個s_server程序是一個功能展示的程序，會用上大量的函數回調點。比如緊接著調用的SSL_CTX_set_info_callback函數就是在生成SSL的時候調用的，可以用于使用者獲得狀態。不但OpenSSL外部的機制可以在用戶端設置，用戶甚至可以設置加密算法的參數。例如s_server就會接下來根據用戶是否提供DH參數來設置內部的參數。如果調用了SSL_CTX_set_dh_auto就意味著參數是使用內部的機制生成，這也是默認的行為。但是仍然可以提前提供，主要是為了性能的考慮，比如提前提供DH的大素數，DH算法在運算的過程中需要一個取模操作，這個取模是對一個大素數進行取模的，而這個大素數默認是在運行的時候動態生成的，但是我們可以提供這個素數，從而以犧牲一定的安全性為代價換來性能的提高。

s_server在設置完整個上下文之后，就會進入Socket監聽和處理的模式。由于BIO框架包含了Socket的能力，所以這一步本質上就是調用BIO的接口。

這是一個典型的OpenSSL的Socket邏輯。BIO_sock_init這個函數在Linux下就是空函數，沒有意義。BIO_lookup是一個通用的獲取地址的方法，對于Socket就是IP:PORT的字符串，對于文件是文件的目錄。BIO_socket意思就相當于在使用Socket變成的socket函數。BIO_listen也就自然對應listen函數，BIO_accept_ex和BIO_closesocket也是類似的意思。整個流程其實就與一個普通的Socket流程沒有太大區別，只是BIO多了一層封裝。因為OpenSSL是個跨平臺的庫，這層封裝更多的意義在于用在跨平臺的應用上的。

通過一個簡單的s_server程序的分析可以看到整個OpenSSL的主要設計思路。它對外封裝了不同的模塊，例如ENGINE，EVP，BIO之類的封裝。在大部分的流程上都提供了回調函數API，使用者可以用回調函數來修改OpenSSL原來的邏輯或者獲得其他的信息。在使用OpenSSL的時候一般需要遵循類似的流程，就是創建上下文，然后配置上下文，然后運行服務。