3.4.3 实例——用非对称加密算法加密文件.docVIP

3.4.3 实例——用非对称加密算法加密文件 用GnuPG加密文件 1 用OpenSSL加密文件 4 用GnuPG加密文件 1．创建密钥对 创建一个用来发送加密数据和进行解密数据的密钥。执行gpg命令，会在主目录下创建一个.gnupg子目录。在该子目录里面有一个gpg.conf的配置文件，它里面是gpg工具的各种选项及其默认设置值。 执行gpg --gen-key命令，生成密钥，如图3.99所示： 图3.99 创建密钥 在图3.99中，确认选择无误后，在最后一行输入“y”，回车。 在图3.100中，根据提示输入相关信息。 图3.100 创建密钥 现在已经在.gnupg目录中生成了一对密钥且存在于文件中，进入.gnupg目录进行查看，如图3.101所示。 图3.101 .gnupg目录内容 2．提取公共密钥 为了使对方使用刚才生成的公共密钥，需要用命令将公共密钥提取出来，发给对方。执行命令gpg --export 5294DEAC pub.key，将公共密钥提取到文件pub.key中。 3．对方收到公共密钥 收到别人的公共密钥后，执行命令gpg --import pub.key把这个公共密钥放到自己的pubring.gpg文件（钥匙环文件）里。命令的执行如图3.102所示。 图3.102 保存别人的公共密钥 执行gpg –kv命令查看目前存放的别人的公共密钥，如图3.103所示： 图3.103 查看公共密钥 4．对方用公共密钥加密文件 对方执行gpg -ea -r 5294DEAC temp_dsa.txt对temp_dsa.txt文件进行加密。 -e：代表加密。 -a：代表ASCII格式。 -r：后面是公共密钥标识。 5294DEAC：为密钥标识。 该命令执行后，在当前目录下生成了一个同名的temp_dsa.txt.asc的文件，即加密后的文件。具体执行过程如图3.104所示。 图3.104 用公共密钥加密文件 5．我方对加密文件进行解密 我方收到temp_dsa.txt.asc文件后，执行gpg -o ttemp_dsa.txt -d temp_dsa.txt.asc命令，用私有密钥对加密文件进行解密。 -o：输出文件。 -d：表示解密。 在当前目录下生成了解密后的文件ttemp_dsa.txt。具体执行过程如图3.105所示。 图3.105 对加密文件进行解密 用OpenSSL加密文件 1．安装openssl-0.9.8g [root@localhost ~]# tar -xzvf openssl-0.9.8g.tar.gz [root@localhost ~]# cd openssl-0.9.8g [root@localhost openssl-0.9.8g]# ./config --prefix=/root/openssl [root@localhost openssl-0.9.8g]# make [root@localhost openssl-0.9.8g]# make install 2．产生CA证书 修改~/openssl/ssl/f文件中的一行为：dir=/root/openssl/ssl/misc/demoCA，将产生的CA证书放置在/root/openssl/ssl/misc/demoCA下。 [root@localhost misc]# cp ../../ssl/f /etc/pki/tls/f [root@localhost misc]# pwd /root/openssl/ssl/misc [root@localhost misc]# dir CA.pl CA.sh c_hash c_info c_issuer c_name demoCA 执行CA证书产生脚本CA.sh，如图3.106所示： 图3.106 执行CA证书产生脚本CA.sh [root@localhost misc]# dir demoCA/ cacert.pem certs crl index.txt newcerts private serial cacert.pem就是CA证书，CA私钥存放在private目录。 3．以CA产生次级证书 在CA证书产生之后，就可以产生使用者或公司所需要的次级证书，次级证书可应用于数字签名或https等ssl传输加密。 （1）产生使用者的密钥文件及CSR文件（Certificate Signing Request）。执行如下命令： [root@localhost misc]# ~/openssl/bin/openssl req -nodes -new -keyout private_key.pem -out private_req.