OPENSSL-1.1.1的使用及注意事项

下载链接：

OpenSSL1.1.1一个广泛使用的开源加密库资源-CSDN文库

OpenSSL 1.1.1 是一个广泛使用的开源加密库，以下是其使用方法及注意事项：

使用方法

• 安装：

  • Linux系统：

    • 从源码编译安装：访问 OpenSSL 官网，下载最新稳定版本的源码包，如openssl-1.1.1i.tar.gz。然后解压并进入目录，执行./config、make和make install命令进行编译安装。在编译前，需确保系统已安装必要的开发工具和依赖库，如make、gcc、zlib-devel、perl等。还可以通过./config --help查看所有配置选项。

    • 使用包管理器安装：在基于 Debian 的系统上，可使用sudo apt-get install openssl命令；在基于 RPM 的系统上，可使用sudo yum install openssl命令。

  • Windows系统：可从slproweb.com下载预编译的安装包，如Win64OpenSSL-1_1_1.exe，安装后需将安装目录下的bin目录添加到环境变量中。

• 查看版本：安装完成后，通过在终端或命令提示符中输入openssl version命令查看当前安装的 OpenSSL 版本。

• 生成密钥对：

  • 生成RSA密钥对：使用命令openssl genrsa -out private_key.pem 2048生成2048位的RSA私钥，并保存到private_key.pem文件中。然后通过openssl rsa -in private_key.pem -pubout -out public_key.pem命令从私钥中提取公钥并保存到public_key.pem文件。

  • 生成ECDSA密钥对：使用命令openssl ecparam -genkey -name prime256v1 -out private_key.pem生成ECDSA私钥，再通过openssl ec -in private_key.pem -pubout -out public_key.pem提取公钥。

• 生成证书签名请求（CSR）：使用命令openssl req -new -key private_key.pem -out csr.pem，根据提示输入相关信息，生成CSR并保存到csr.pem文件。

• 自签名证书：使用命令openssl req -x509 -days 365 -key private_key.pem -in csr.pem -out certificate.pem，将CSR转换为自签名证书并保存到certificate.pem文件。

• 验证证书：使用命令openssl x509 -in certificate.pem -text -noout查看证书的详细信息。

• 加密和解密数据：使用对称加密算法如AES，可通过openssl enc -aes-256-cbc -in plaintext.txt -out ciphertext.enc命令加密数据，再用openssl enc -aes-256-cbc -d -in ciphertext.enc -out decrypted.txt命令解密。

注意事项

• 升级相关：

  • 在升级前，建议备份重要数据和配置文件，以防止升级过程中出现意外情况导致数据丢失或配置错误。

  • 升级后，可能需要重新编译或重新安装依赖于旧版 OpenSSL 的应用程序或库。

  • 如果系统中有其他软件依赖于旧版本的 OpenSSL，请谨慎操作。

• 配置相关：

  • 在安装完成后，可能需要更新系统链接，并将新 OpenSSL 的路径添加到系统环境变量中。

  • 如果使用的是预编译的安装包，需确保安装包与系统版本和架构兼容。

• 安全相关：

  • 请定期检查并更新 OpenSSL 版本，以确保始终使用最新版本，并获得最新的安全漏洞修复和功能改进。

  • 在使用 OpenSSL 进行加密通信时，应确保使用安全的密钥长度和加密算法，以防止被破解。

  • 不要使用弱密码或默认密码，以防止被暴力破解。

• 其他：

  • 在编译安装新版本的 OpenSSL 时，可能会对依赖于旧版本 OpenSSL 的系统服务或软件包产生影响。

  • 在某些情况下，为了避免影响系统内置组件，可以考虑不替换系统默认的 OpenSSL，而是仅在特定应用环境下通过软链接或者设置LD_LIBRARY_PATH来使用新版本。