用OPENSSL實(shí)現電子商務(wù)中的CA認證

摘要：本文主要介紹了使用公開(kāi)源代碼的工具OpenSSL來(lái)完成數字證書(shū)的簽署，實(shí)現電子商務(wù)中的CA認證的過(guò)程。

關(guān)鍵詞：電子商務(wù)；OpenSSL；CA認證

1. 前言
作為電子商務(wù)的安全核心SSL協(xié)議在電子商務(wù)安全性方面扮演了重要的角色。本文就是從安全技術(shù)角度介紹了以公開(kāi)源代碼的工具OpenSSL來(lái)實(shí)現電子商務(wù)中的安全認證過(guò)程。

2. SSL（Secure Socket Layer）協(xié)議及其主要技術(shù)
1996年由美國Netscape公司開(kāi)發(fā)和倡導的SSL協(xié)議，它是目前安全電子商務(wù)交易中使用最多的協(xié)議之一,它被許多世界知名廠(chǎng)商的Intranet和Internet網(wǎng)絡(luò )產(chǎn)品所支持。
SSL應用在Client和Server間安全的Web HTTP通信，URL以https開(kāi)始替代http,并使用443端口進(jìn)行通信。它主要使用加密機制、數字簽名、數字摘要、身份認證、CA認證技術(shù)提供Client和Server之間的秘密性、完整性、認證性三種基本的安全服務(wù)。

3. 用OpenSSL工具實(shí)現安全認證
目前，國外主流的電子商務(wù)安全協(xié)議在核心密碼算法上都有出口限制，如只允許40位或56位的RC4和512位的RSA算法出口等。這樣的算法強度引進(jìn)后無(wú)法滿(mǎn)足我國電子商務(wù)實(shí)際應用當中的安全需求。但是，完全自主定義和開(kāi)發(fā)一套安全標準體系不是一蹴而就的事情，需要人、財、物的長(cháng)期投入。
因此，如何對國外主流的電子商務(wù)安全協(xié)議的安全模塊進(jìn)行改造，用國內先進(jìn)的密碼算法替換其相應的安全強度不夠的算法，變?yōu)閲�產(chǎn)的強安全協(xié)議，這樣就能較好地提高我國電子商務(wù)安全技術(shù)水平。
在SSL未提供源代碼的情況下，由澳大利亞軟件工程師Eric Young與Tim Hudson聯(lián)合開(kāi)發(fā)的OpenSSL恰好解決了這一難題。它不僅能實(shí)現SSL的所有功能，支持目前所有基于SSL V2/V3和TSL V1的應用軟件，而且由于源代碼公開(kāi)和提供了各種加密算法，完全可以滿(mǎn)足國外安全協(xié)議引進(jìn)后的本地化改造需求。
下面就用OpenSSL提供的強大功能在FreeBSD平臺下進(jìn)行手工簽署證書(shū)的過(guò)程。
⑴ 先建立一個(gè) CA 的證書(shū)，首先為 CA 創(chuàng )建一個(gè) RSA 私用密鑰：
# OpenSSL genrsa -des3 -out ca.key 1024
該指令中g(shù)enras表示生成RSA私有密鑰文件。
-des3表示用DES3加密該文件。
-out ca.key表示生成文件ca.key。
1024是我們的RSA key的長(cháng)度。
生成server.key的時(shí)候會(huì )要你輸入一個(gè)密碼，這個(gè)密鑰用來(lái)保護你的ca.key文件，這樣即使人家偷走你的ca.key文件，也打不開(kāi)，拿不到你的私有密鑰。
運行該指令后系統提示輸入 PEM pass phrase，也就是ca.key文件的加密密碼，這里設為12345678。
⑵ 用下列命令查看它的內容：
# OpenSSL rsa -noout -text -in ca.key
該指令中rsa表示對RSA私有密鑰的處理。
-noout表示不打印出key的編碼版本信息。
-text表示打印出私有密鑰的各個(gè)組成部分。
-in ca.key 表示對ca.key文件的處理

對RSA算法進(jìn)行分析可以知道，RSA的私有密鑰其實(shí)就是三個(gè)數字，其中兩個(gè)是質(zhì)數prime numbers。產(chǎn)生RSA私有密鑰的關(guān)鍵就是產(chǎn)生這兩個(gè)質(zhì)數。還有一些其他的參數，引導著(zhù)整個(gè)私有密鑰產(chǎn)生的過(guò)程。
⑶ 利用 CA 的 RSA 密鑰創(chuàng )建一個(gè)自簽署的 CA 證書(shū)
# OpenSSL req -new -x509 -days 365 -key ca.key -out ca.crt
該指令中req用來(lái)創(chuàng )建和處理CA證書(shū),它還能夠建立自簽名證書(shū),做Root CA。
-new 產(chǎn)生一個(gè)新的CSR, 它會(huì )要輸入創(chuàng )建證書(shū)請求CSR的一些必須的信息。
-x509 將產(chǎn)生自簽名的證書(shū)，一般用來(lái)做測試用，或者自己做個(gè)Root CA用。
-days 365 指定我們自己的CA給人家簽證書(shū)的有效期為365天。
-key ca.key指明我們的私有密鑰文件名為ca.key。
-out ca.crt指出輸出的文件名為ca.crt。
執行該指令時(shí)系統要求用戶(hù)輸入一些用戶(hù)的信息，如下所示：（框內為輸入的內容）
Using configuration from /etc/ssl/OpenSSL.cnf
Enter PEM pass phrase:12345678
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN （兩個(gè)字母的國家代號）
State or Province Name (full name) [Some-State]:JIANG SU （省份名稱(chēng)）
Locality Name (eg, city) []:ZHANGJIAGANG （城市名稱(chēng)）
Organization Name (eg, company) [Internet Widgits Pty Ltd]:FAMILY NETWORK （公司名稱(chēng)）
Organizational Unit Name (eg, section) []:HOME （部門(mén)名稱(chēng)）
Common Name (eg, YOUR name) []:TJL （你的姓名）
Email Address []:TJL@WX88.NET （

【用OPENSSL實(shí)現電子商務(wù)中的CA認證】相關(guān)文章：

無(wú)驅動(dòng)USB認證模塊在電子商務(wù)中的應用03-07

論網(wǎng)絡(luò )營(yíng)銷(xiāo)在現代電子商務(wù)中的實(shí)現03-22

ＪＡＶＡ實(shí)現電子商務(wù)系統03-22

HMAC認證協(xié)議的單片機實(shí)現03-18

基于電子商務(wù)的網(wǎng)絡(luò )營(yíng)銷(xiāo)的實(shí)現03-21

電子商務(wù)典型模式的設計與實(shí)現03-21

圖像處理中的模糊算法及實(shí)現03-13

電子商務(wù)網(wǎng)站的設計及其實(shí)現03-07

小學(xué)數學(xué)中教學(xué)創(chuàng )新的實(shí)現論文11-21