2018-1-3课程笔记（证书 ssh）

笔记

CA和证书

X.509：定义了证书的结构以及认证协议标准

版本号          序列号          签名算法        颁发者
有效期限        主体名称        主体公钥        CRL分发点
扩展信息        发行者签名

证书获取

证书类型：

证书授权机构的证书
服务器
用户证书

获取证书两种方法：

1.使用证书授权机构

生成签名请求（csr）
将csr发送给CA
从CA处接收签名

2.自签名的证书:

自已签发自己的公钥

安全协议

两阶段协议，分为握手阶段和应用阶段

• 握手阶段(协商阶段):客户端和服务器端认证对方身份（依赖于PKI体系，利用数字证书进行身份认证），并协商通信中使用的安全参数、密码套件以及主密钥。后续通信使用的所有密钥都是通过MasterSecret生成。
• 应用阶段:在握手阶段完成后进入，在应用阶段通信双方使用握手阶段协商好的密钥进行安全通信

SSL/TLS

• Handshake协议：包括协商安全参数和密码套件、服务器身份认证（客户端身份认证可选）、密钥交换
• ChangeCipherSpec 协议：一条消息表明握手协议已经完成
• Alert 协议：对握手协议中一些异常的错误提醒，分为fatal和warning两个级别，fatal类型错误会直接中断SSL链接，而warning级别的错误SSL链接仍可继续，只是会给出错误警告
• Record 协议：包括对消息的分段、压缩、消息认证和完整性保护、加密等
• HTTPS 协议：就是“HTTP 协议”和“SSL/TLS 协议”的组合。HTTP over SSL”或“HTTP over TLS”，对http协议的文本数据进行加密处理后，成为二进制形式传输

HTTPS工作原理

1. client hello---> server
2. server cert:Sca(Pserver)--->client
3. client Pca[Sca(Pserver)]=Pserver
4. client key(客户端随机生成的key)
5. client Pserver(key)--->server
6. server Sserver[Pserver(key)]=key
7. client<---key(data)--->server

cert:Sca(Pserver)==证书:私钥（证书）
Pca[Sca(Pserver)]==公钥[私钥（证书）]

OpenSSL

OpenSSL：开源项目

    三个组件：
        openssl: 多用途的命令行工具，包openssl
        libcrypto: 加密算法库，包openssl-libs
        libssl：加密模块应用库，实现了ssl及tls，包nss

openssl命令：

两种运行模式：交互模式和批处理模式
openssl version：程序版本号
标准命令、消息摘要命令、加密命令
标准命令：enc, ca, req, ...

openssl命令

对称加密：
    工具：opensslenc, gpg
    算法：3des, aes, blowfish, twofish
enc命令：
    帮助：man enc
    加密：openssl enc -e -des3 -a -salt -in file -out file.s
    注释：-e -des3(加密算法) -a -salt（加颜料） -in(那个文件) file -out（输出文件的名字） file.s
    解密：openssl enc -d -des3 -a -salt –in file.s -out file 
单向加密：
工具：md5sum, sha1sum, sha224sum,sha256sum...openssl dgst
dgst命令：
    帮助：man dgst
    openssl dgst -md5 [-hex默认] /PATH/SOMEFILE
    openssl dgst -md5 testfile
    md5sum /PATH/TO/SOMEFILE
MAC: Message Authentication Code，单向加密的一种延伸应用，用于实现网络通信中保证所传输数据的完整性机制
    CBC-MAC
    HMAC：使用md5或sha1算法
生成用户密码：
passwd命令:
帮助：man sslpasswd
openssl passwd -1 -salt SALT(最多8位)
openssl passwd -1 –salt centos(把centos加密)
生成随机数：
帮助：man sslrand
openssl rand -base64|-hex NUM
NUM: 表示字节数；-hex时，每个字符为十六进制，相当于4位二进制，出现的字符数为NUM*2
公钥加密：
    算法：RSA, ELGamal
    工具：gpg, opensslrsautl（man rsautl）
数字签名：
    算法：RSA, DSA, ELGamal
密钥交换：
    算法：dh
    DSA: Digital Signature Algorithm
    DSS：Digital Signature Standard
    RSA：

生成密钥

生成密钥对儿：man genrsa
生成私钥
    openssl genrsa -out /PATH/TO/PRIVATEKEY.FILE NUM_BITS
    openssl genrsa -out centos6.key 2048 //文件生成后权限不安全
    (umask 066; openssl genrsa –out test.key –des3 2048) //安全
    openssl rsa -in test.key –out test2.key 将加密key解密
从私钥中提取出公钥
    openssl rsa -in PRIVATEKEYFILE –pubout–out PUBLICKEYFILE
    Openssl rsa –in test.key –pubout –out test.key.pub
例子：
生成私钥
    (umask 066; openssl genrsa –out centos6.key –des3 2048)
    注意：-des3设置口令
从私钥中提取出公钥
    openssl rsa -in centos6.key -pubout -out centos6.key.pub
    注意：提取公钥会输入口令
将加密key解密
    openssl rsa -in centos6.key –out centos6.key1 
随机数生成器：伪随机数字
    键盘和鼠标，块设备中断
    /dev/random：仅从熵池返回随机数；随机数用尽，阻塞
    /dev/urandom：从熵池返回随机数；随机数用尽，会利用软件生成伪随机数,非阻塞

OpenSSL

• PKI：Public Key Infrastructure CA RA CRL 证书存取库
• 建立私有CA:
  OpenCA
  openssl
• 证书申请及签署步骤：
  1、生成申请请求
  2、RA核验
  3、CA签署
  4、获取证书

创建CA和申请证书

• 创建私有CA：openssl的配置文件：
  
  • /etc/pki/tls/openssl.cnf
  • 三种策略：匹配、支持和可选
  • 匹配指要求申请填写的信息跟CA设置信息必须一致，支持指必须填写这项申请信息，可选指可有可无
• 1、创建所需要的文件
  
  • touch /etc/pki/CA/index.txt 生成证书索引数据库文件
  • echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号
• 2、CA自签证书
  
  • 生成私钥
  • cd /etc/pki/CA/
  • (umask066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
  • 生成自签名证书
    openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
    

    -new: 生成新证书签署请求
    -x509: 专用于CA生成自签证书
    -key: 生成请求时用到的私钥文件
    -days n：证书的有效期限
    -out /PATH/TO/SOMECERTFILE: 证书的保存路径

  • openssl x509 -in cacert.pem -noout -text //文本查看证书
• 3、颁发证书
  
  • A 在需要使用证书的主机生成证书请求
    给web服务器生成私钥
    (umask 066; openssl genrsa -out /etc/pki/tls/private/test.key 2048)
    生成证书申请文件
    openssl req -new -key /etc/pki/tls/private/test.key -days 365 -out etc/pki/tls/test.csr
  • B 将证书请求文件传输给CA
  • C CA签署证书，并将证书颁发给请求者
    openssl ca -in /tmp/test.csr –out /etc/pki/CA/certs/test.crt -days 365
    注意：默认国家，省，公司名称三项必须和CA一致
  • D 查看证书中的信息：
    openssl x509 -in /PATH/FROM/CERT_FILE -noout
    -text|issuer|subject|serial|dates
    openssl ca -status SERIAL查看指定编号的证书状态
• 4、吊销证书
  
  • A 在客户端获取要吊销的证书的serial
    openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject
  • B在CA上，根据客户提交的serial与subject信息，对比检验是否与index.txt文件中的信息一致，吊销证书：
    openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
  • C 指定第一个吊销证书的编号
    注意：第一次更新证书吊销列表前，才需要执行
    echo 01 > /etc/pki/CA/crlnumber
  • D 更新证书吊销列表
    openssl ca -gencrl -out /etc/pki/CA/crl.pem
    查看crl文件：
    openssl crl -in /etc/pki/CA/crl.pem -noout -text

SSH

SSH介绍

• ssh: secure shell, protocol, 22/tcp, 安全的远程登录

• 具体的软件实现：

  • OpenSSH: ssh协议的开源实现，CentOS默认安装
  • dropbear：另一个开源实现

• SSH协议版本

  • v1: 基于CRC-32做MAC，不安全；man-in-middle
  • v2：双方主机协议选择安全的MAC方式
  • 基于DH算法做密钥交换，基于RSA或DSA实现身份认证

• 两种方式的用户登录认证：

  • 基于password
  • 基于key

Openssh软件组成

• OpenSSH介绍相关包：

  • openssh
  • openssh-clients
  • openssh-server
  • rpm -qi openssh //查看包组

• 工具：

  • 基于C/S结构
  • Client: ssh, scp, sftp，slogin
  • Windows客户端：xshell, putty, securecrt, sshsecureshellclient
  • Server: sshd

ssh客户端

客户端组件：

• ssh, 配置文件：/etc/ssh/ssh_config
  
  • Host PATTERN
  • StrictHostKeyChecking no 首次登录不显示检查提示

• 格式：

  • ssh [user@] host [COMMAND]
  • ssh [-l user] host [COMMAND]
  • -p port：远程服务器监听的端口
  • -b:指定连接的源IP
  • -v:调试模式
  • -C：压缩方式
  • -X: 支持x11转发（centos7执行nm-connection-editor centos6 ssh连接时+X 在执行nm-connection-editor可以显示图形用xstart远程连接linux图形用户界面）
  • -Y：支持信任x11转发ForwardX11Trusted yes
  • -t: 强制伪tty分配ssh -t remoteserver1 ssh remoteserver2

• 允许实现对远程系统经验证地加密安全访问

• 当用户远程连接ssh服务器时，会复制ssh服务器

/etc/ssh/ssh_host*key.pub（CentOS7默认是ssh_host_ecdsa_key.pub）文件中的公钥到客户机的~./ssh/know_hosts中。下次连接时，会自动匹配相应私钥，不能匹配，将拒绝连接

• 修改端口编辑 /etc/ssh/ssh_config

# port 22  //修改这一行 端口自己指定
systemctl reload sshd //修改文件后生效

ssh服务登录验证

• ssh服务登录验证方式：用户/口令 基于密钥
• 基于用户和口令登录验证（.ssh/known_hosts文件内容是已经建立连接服务器端公钥）
  
  • 1、客户端发起ssh请求，服务器会把自己的公钥发送给用户
  • 2、用户会根据服务器发来的公钥对密码进行加密
  • 3、加密后的信息回传给服务器，服务器用自己的私钥解密，如果密码正确，则用户登录成功

• 基于用户名口令登录验证
  

• 基于密钥的登录方式

  • 1、首先在客户端生成一对密钥（ssh-keygen）
  • 2、并将客户端的公钥ssh-copy-id 拷贝到服务端
  • 3、当客户端再次发送一个连接请求，包括ip、用户名
  • 4、服务端得到客户端的请求后，会到authorized_keys中查找，如果有响应的IP和用户，就会随机生成一个字符串，例如：acdf
  • 5、服务端将使用客户端拷贝过来的公钥进行加密，然后发送给客户端
  • 6、得到服务端发来的消息后，客户端会使用私钥进行解密，然后将解密后的字符串发送给服务端
  • 7、服务端接受到客户端发来的字符串后，跟之前的字符串进行对比，如果一致，就允许免密码登录
    

基于key认证

基于密钥的认证：

• (1) 在客户端生成密钥对
  ssh-keygen -t rsa[-P ''] [-f "~/.ssh/id_rsa"]
  

  这里私钥必须要加密不加密，一旦丢失你方便他也方便

• (2) 把公钥文件传输至远程服务器对应用户的家目录
  ssh-copy -id [-i[identity_file]] [user@]host
  ssh-copy-id -i id_rsa root@172.18.101.118
• (3) 测试
• (4) 在SecureCRT或Xshell实现基于key验证

在SecureCRT工具—>创建公钥—>生成Identity.pub文件转化为openssh兼容格式（适合SecureCRT，Xshell不需要转化格式），并复制到需登录主机上相应文件authorized_keys中,注意权限必须为600，在需登录的ssh主机上执行：ssh-keygen-i-f Identity.pub >> .ssh/authorized_keys

• (5)重设私钥口令：ssh-keygen –p
• (6)验证代理（authentication agent）保密解密后的密钥
  
  • 这样口令就只需要输入一次
  • 在GNOME中，代理被自动提供给root用户
  • 否则运行ssh-agent bash
• (7)钥匙通过命令添加给代理 ssh-add

免密登录

[root@centos6 ~]#ssh-keygen -p //在客户端生成密钥对
Enter file in which the key is (/root/.ssh/id_rsa):       
Key has comment '/root/.ssh/id_rsa'
Enter new passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved with the new passphrase.
You have new mail in /var/spool/mail/root

[root@centos6 ~]#ssh-copy-id -i .ssh/id_rsa root@172.18.101.118 //把公钥文件传输至远程服务器对应用户的家目录
root@172.18.101.118's password: 
Now try logging into the machine, with "ssh 'root@172.18.101.118'", and check in:
  .ssh/authorized_keys
to make sure we haven't added extra keys that you weren't expecting.

[root@centos6 ~]#ssh 172.18.101.118 //连接远程服务器               
Enter passphrase for key '/root/.ssh/id_rsa':  //这里输入的密码是自己私钥的密码
Last login: Sun Jan  7 19:48:09 2018 from 172.18.101.93

• 要想免密登录 找代理

[root@centos6 ~]#ssh-agent bash 
[root@centos6 ~]#ssh-add 
Enter passphrase for /root/.ssh/id_rsa:  //输入自己私钥的密码
Identity added: /root/.ssh/id_rsa (/root/.ssh/id_rsa)
[root@centos6 ~]#ssh 172.18.101.118                            
Last login: Sun Jan  7 19:49:50 2018 from 172.18.101.93
    登陆成功
[root@centos7 ~]#
这里需要注意的的每次登录需要输入下密码 退出登录失效

• 脚本有BUG

  #!/bin/bash
  rpm -q expect &> /dev/null || yum -y -q install expect
  ssh-kengen -P "" -f ~/.ssh/id_rsa &> /dev/null
  while read ip passwd;do
    user=root
    expect <<EOF
    set timeout 10
    spawn ssh-copy-id $ip@$passwd
    expect{
    "yes/no" { send "yes\n";exp_continue }
    "password" { send "$password\n" }
    }
    expect eof
    EOF
  done < host.txt

解决ssh连接慢问题

[root@centos6 ~]#vim /etc/ssh/sshd_config  //找到下面两项改为no就ok
GSSAPIAuthentication no 
UsePAM no