《精通PKI网络安全认证技术与编程实现》 读书笔记二

第二章 OpenSSL入门

1、openssl实现了SSL/TLS协议，提供了对SSLlv1，SSLv2，SSLv3和TLS的支持。

2、openssl包含3部分：SSL协议、密码算法库、应用程序。其中密码库是基础，应用程序把密码算法库和SSL协议应用于实际开发中，也是丰富的openssl指令集。

openssl包含关系：密码算法库 ->SSL协议->应用程序（指令）。

3、SSL协议：完全实现和封装了SSL协议的3个版本（SSLv1~SSLv3）和TLS协议（TLS1.0），linux下库文件为libssl.a， windows下库文件为ssleay32.lib/ssleay32.dll。

4、密码算法库：包括公开密钥（非对称）算法、对称加密算法、信息摘要算法、x509数字证书标准、pkcs12个人信息交换语法标准、pkcs7加密消息语法标准、ocsp在线证书状态查询协议、crl证书吊销列表等标准。同时openssl提供Engine机制：利用Engine可将加密卡、加密机等外部硬件算法模块无缝集成到openssl中。linux下库文件为libcrypto.a， windows下库文件为libeay32.lib/libeay32.dll。

openssl支持的密码算法有：

（1）8种对称算法，其中7种为分组加密算法，1种为流加密算法。分组加密有：AES、DES、Blowfish、CAST、IDEA、RC2、RC5。流加密：RC4。

（2）4种公开密钥算法：DH、RSA、DSA、EC（椭圆曲线算法)。

（3）5种信息摘要算法：分别为MD2、MD5，MDC2，SHA(SHA1),RIPEMD。

5、应用程序部分主要包括以下内容：

（1）各种算法的加密程序；

（2）各种类型密钥的产生程序，如RSA，MD5，Enc等；

（3）证书签发和验证程序，如Ca，x509，Crl等；

（4）SSL连接测试程序，如S_Client和S_Server等；

（5）其他的标准应用程序，如PKCS12和Smime等。

6、openssl的优缺点：

（1）优点：c语言开发，支持多种操作系统，移植性好；功能全面，支持大部分主流密码算法，相关标准协议和ssl协议；开源；具备应用程序（即openssl指令），既可以直接使用也可以二次开发；免费使用，适合商用和非商用；

（2）缺点：虽然采用c语言开发，但结构较为复杂庞大，不容易剥离；文档不全面，增加使用困难。

7、openssl对全球的pki发展贡献突出。