OpenSSL

PKI：Public Key Infrastructure ：公钥基础设施
    签证机构 CA
    注册机构 RA
    证书吊销列表 CRL，以便验证有些证书是过期的
    证书存取库

    X.509 ：定义了证书的结构 以及认证协议标准
        版本号
        序列号
        签名算法ID 号
        发行者名称
        有效期限
        证书拥有者的名称：主体名称
        主体公钥
        CA的唯一标识
        主体的唯一标识
        扩展信息
        发行者CA的签名

SSL:secure socker layer:安全的套接字层
TLS: 传输层安全
    TLS 1.0 是 SSL 3.0的升级版
    TLS 1.1 RFC 4346
    TLS 1.2 增进了很多安全性，目前使用最多
    TLS 1.3

    应用层
        + ssl/tls（api) 
    传输层

    用到 ssl/tls 层就是安全的，不用就是不安全的。
        http:文本编码
        https：二进制编码的

        三次握手，还有ssl握手，交换秘钥，认证，基于IP 地址实现

    协议的分层设计：
        1、最底层：基础算法源语的实现。aes rsa md5
        2、向上一层：各种算法的实现
            aes-128-cbc-pkcs7（cbc是里边的库）
        3、再向上一层：组合算法实现的半成品
        4、用各种组件拼装而成的各种成品密码学协议/软件
            tls   ssh

OpenSSL： 开源项目
    三个组件：
        openssl：多用途的命令行工具
        libcrypto：公共加密库，实现了各种加密算法。直接调用
        libssl：ssl层的实现，库，实现了ssl 和tls

        如何建立连接：https

            客户端    tcp会话的建立过程三次握手      服务器端

                        ssl的握手认证
                        s发送证书给c
                        c要认证 证书，
                            1、证书发行者名称 CA
                            2、找道发行者的证书，从中提取公钥
                            3、如果能解密，CA认证通过
                            4、证书中的主体名称 www.ma.com
                            5、检查证书信息（加密解密特征码是否相同）
                            6、检查证书吊销列表，是否在其中。
        
        openssl命令行工具：
            openssl version 程序版本号    
            
            标准命令，消息摘要命令，加密命令

            标准命令：
                enc， ca， req， ...

            对称加密
                工具：openssl enc,gpg
                算法：3des，aes，....具体 openssl --help查看

                加密：
                openssl enc -e -des3 -a -salt -in /etc/fstab -out a.txt
                就将文件加密了。

                解密：
                openssl enc -d -des3 -a -salt -in a.txt -out /t/fatab
                将加密文件恢复。

            单向加密：
                工具：md5sum,sha1sum, sha224sum, sha56sum, openssl dgst

                md5sum /etc/fastab

                openssl dgst -md5 /etc/fatab
                不同工具，算法相同，一般结果一样。

                openssl dgst -md5 -hex /file :默认就是16进制

                MAC：message authentication code：消息认证吗，不验证谁发的。
                        ---单向加密的一种延伸，用于实现在网络中保证所传输的数据的完整性

                    机制：
                        CBC-MAC:
                        HMAC:使用md5或sha1 算法：用于集群之间相互信任
            生成用户密码：
                passwd命令：sslpasswd

                openssl passwd -1 -salt 123456 : 1 表示md5， salt相同，获得的结果就相同的。
                    回车后，输入密码 如 jack
                    $1$123455$h3XGOsZlrgCKrOGd0/Ma5/  ：将jack加密成这样

            生成随机数：
                openssl rand -base64 4

                openssl rand -hex 4     ---4是字节

            公钥加密：
                rsa，dsa，...
                加密：
                    算法：Rsa， ELGmal
                    工具：gpg, openssl rsautl, dsa
                数字签名：
                    算法：RSA , DSA, ELGmal
                    工具：openssl rsa, dsa # 一般不手动完成
                秘钥交换：
                    算法：dh
                DSA：Digital Signature Algorithm
                DSS：数字签名标准
                RSA:

                生成秘钥对：
                    算法：genrsa， gendsa， gendh

                    私钥：
                    openssl genrsa -out /tmp/a.orivate 2048

                    公钥：从私钥中获取
                    openssl rsa -in /tmp/a.orivate -puout

                    (umask 077; openssl genrsa -out /tmp/a.orivate 2048 )
                        # 顺便修改权限 666 - 077 负数为0
                        # 加括号，表示在子shell中执行，不会影响当前的umask 


                随机数生成器：
                    软件生成的，都是有规律可循的，不是真正的随机。

                    /dev/random:仅从熵池返回随机数，随机数用尽，阻塞
                    /devurandom：从熵池返回随机数，随机数用尽，会利用该软件生成伪随机数，非阻塞