openssl原理与操作

给文件或者消息加密，加密和解密用的同一密码，即对称加密
OpenSSL一共提供了8种对称加密算法，其中7种是分组加密算法，仅有的一种流加密算法是RC4。
这7种分组加密算法分别是AES、DES、Blowfish、CAST、IDEA、RC2、RC5，都支持电子密码本模式（ECB）、加密分组链接模式（CBC）、加密反馈模式（CFB）和输出反馈模式（OFB）四种常用的分组密码加密模式。
其中，AES使用的加密反馈模式（CFB）和输出反馈模式（OFB）分组长度是128位，其它算法使用的则是64位。
事实上，DES算法里面不仅仅是常用的DES算法，还支持三个密钥和两个密钥3DES算法。

OpenSSL一共实现了4种非对称加密算法，包括DH算法、RSA算法、DSA算法和椭圆曲线算法（EC）。
DH算法一般用于密钥交换。RSA算法既可以用于密钥交换，也可以用于数字签名，当然，如果你能够忍受其缓慢的速度，那么也可以用于数据加密。
DSA算法则一般只用于数字签名。

OpenSSL实现了5种信息摘要算法，分别是MD2、MD5、MDC2、SHA（SHA1）和RIPEMD。
SHA算法事实上包括了SHA和SHA1两种信息摘要算法，此外，OpenSSL还实现了DSS标准中规定的两种信息摘要算法DSS和DSS1。

公钥：公钥是公开的，用来传输对方的随机密钥，只有通过私钥才能解密，这时就只有双方知道密钥了，从而达到安全传输的目的。
私钥：自己保留，只有通过私钥才能解密公钥加密的数据，对于私钥的使用可以设置密码。

CA：
CA就相当于一个认证机构，只要经过这个机构签名的证书我们就可以当做是可信任的。我们的浏览器中，已经被写入了默认的CA根证书。
证书：
证书就是将我们的公钥和相关信息写入一个文件，CA用它们的私钥对我们的公钥和相关信息进行签名后，将签名信息也写入这个文件后生成的一个文件。
证书格式(是一种标准)：
x509 这种证书只有公钥，不包含私钥。
pcks#7 这种主要是用于签名或者加密。
pcks#12 这种含有私钥，同时也含有公钥，但是有口令保护。
编码方式：
.pem 后缀的证书都是base64编码
.der 后缀的证书都是二进制格式
证书：
.csr 后缀的文件是用于向ca申请签名的请求文件
.crt .cer 后缀的文件都是证书文件（编码方式不一定，有可能是.pem,也有可能是.der）
私钥：
.key 后缀的文件是私钥文件

openssl enc -ciphername [-in filename] [-out filename] [-pass arg] [-e] [-d] [-a/-base64] [-A] [-k password] [-kfile filename] [-K key] [-iv IV] [-S salt] [-salt] [-nosalt] [-z] [-md] [-p] [-P] [-bufsize number] [-nopad] [-debug] [-none] [-engine id]

-e：加密；
-d：解密；
-ciphername：ciphername为相应的对称加密算命名字，如-des3、-ase128、-cast、-blowfish等等。
-a/-base64：使用base-64位编码格式；
-salt：自动插入一个随机数作为文件内容加密，默认选项；
-in FILENAME：指定要加密的文件的存放路径；
-out FILENAME：指定加密后的文件的存放路径；

(base) C02G20FCMD6M:$ echo "hellow openssl"|openssl enc -des3 -e -a -salt
enter des-ede3-cbc encryption password:
Verifying - enter des-ede3-cbc encryption password:
Using -iter or -pbkdf2 would be better.
U2FsdGVkX1/vUfi6NBKaBITVfUnQCVmpWiftmAybkwg=

(base) C02G20FCMD6M:$ openssl enc -des3 -e -a -in test_openssl.txt -out test_openssl
enter des-ede3-cbc encryption password:
Verifying - enter des-ede3-cbc encryption password:
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.
(base) C02G20FCMD6M:$ openssl enc -d -des3 -a -salt -in test_openssl
enter des-ede3-cbc decryption password:
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.
hellow openssl

openssl dgst [-md5|-md4|-md2|-sha1|-sha|-mdc2|-ripemd160|-dss1] [-c] [-d] [-hex] [-binary] [-out filename] [-sign filename] [-keyform arg] [-passin arg] [-verify filename] [-prverify filename] [-signature filename] [-hmac key] [file...]

[-md5|-md4|-md2|-sha1|-sha|-mdc2|-ripemd160|-dss1]：指定一种单向加密算法；
 -out FILENAME：将加密的内容保存到指定的文件中；
单向加密除了 openssl dgst 工具还有：md5sum，sha1sum，sha224sum，sha256sum ，sha384sum，sha512sum

openssl passwd [-crypt] [-1] [-apr1] [-salt string] [-in file] [-stdin] [-noverify] [-quiet] [-table] {password}
常用选项为：
-salt STRING：添加随机数；
-in FILE：对输入的文件内容进行加密；
-stdin：对标准输入的内容进行加密；

openssl命令也支持生成随机数，其子命令为rand，对应的语法为：
openssl rand [-out file] [-rand file(s)] [-base64] [-hex] num
常用选项有：
-base64：以base64编码格式输出；
-hex：使用十六进制编码格式；
-out FILE：将生成的内容保存在指定的文件中；

openssl genrsa [-out filename] [-passout arg] [-des] [-des3] [-idea] [-f4] [-3] [-rand file(s)] [-engine id] [numbits]
 常用选项：
 -out FILENAME：将生成的私钥保存至指定的文件中；
 [-des] [-des3] [-idea]：指定加密算法；
 numbits：指明生成的私钥大小，默认是512；

openssl rsa [-inform PEM|NET|DER] [-outform PEM|NET|DER] [-in filename] [-passin arg] [-out filename] [-passout arg] [-sgckey] [-des] [-des3] [-idea] [-text] [-noout] [-modulus] [-check] [-pubin] [-pubout] [-engine id]
常用选项为：
 -in FILENAME：指明私钥文件的存放路径；
 -out FILENAME：指明将公钥的保存路径；
 -pubout：根据提供的私钥，从中提取出公钥；

openssl x509 -in/etc/pki/CA/certs/httpd.crt-noout -serial -dates -subject复制复制

-noout：不输出加密的证书内容；
 -serial：输出证书序列号；
 -dates：显示证书有效期的开始和终止时间；
 -subject：输出证书的subject；

openssl pkcs12 -info -in apiclient_cert.p12-nodes

openssl pkcs12 -in apiclient_cert.p12-out cert.pem-nokeys

openssl pkcs12 -in apiclient_cert.p12-out private_key.pem-nodes -nocerts

openssl x509 -in cert.pem-noout -serial

openssl pkcs12 -export -out server.p12 -inkey server.key -in server.crt -certfile CACert.crt