1、openssl简介
openssl是一个功能丰富且自包含的开源安全工具箱。它提供的主要功能有:SSL协议实现(包括SSLv2、SSLv3和TLSv1)、大量软算法(对称/非对称/摘要)、大数运算、非对称算法密钥生成、ASN.1编解码库、证书请求(PKCS10)编解码、数字证书编解码、CRL编解码、OCSP协议、数字证书验证、PKCS7标准实现和PKCS12个人数字证书格式实现等功能。
2、openssl安装
对应不同的操作系统,用户可以参考INSTALL、INSTALL.MacOS、INSTALL.NW、INSTALL.OS2、INSTALL.VMS、INSTALL.W32、INSTALL.W64和INSTALL.WCE等文件来安装openssl。安装时,需要如下条件:
Make工具、Perl 5、编译器以及C语言库和头文件。
2.1、linux下安装
1)解压openssl开发包文件;
2)运行./config --prefix=/usr/local/openssl (更多选项用./config --help来查看),可用的选项有:no-mdc2、no-cast no-rc2、no-rc5、no-ripemd、no-rc4 no-des 、no-md2、no-md4、no-idea 、no-aes、no-bf、no-err、no-dsa、no-dh、no-ec、no-hw、no-asm、no-krb5、no-dso 、no-threads 、no-zlib、-DOPENSSL_NO_HASH_COMP、-DOPENSSL_NO_ERR、-DOPENSSL_NO_HW 、-DOPENSSL_NO_OCSP、-DOPENSSL_NO_SHA256和-DOPENSSL_NO_SHA512等。去掉不必要的内容可以减少生成库的大小。 若要生成debug版本的库和可执行程序加-g或者-g3(openssl中有很多宏,需要调试学习最好加上-g3)。
3)make test (可选)
4)make install
完成后,openssl会被安装到/usr/local/openssl目录,包括头文件目录include、可执行文件目录bin、man在线帮助、库目录lib以及配置文件目录(ssl)。
2.2、windows下编译与安装
安装步骤如下:
1) 安装VC6.0;0.9.7i及以上版本支持VC++ 2005
2) 安装perl5;
3) 解压openssl;
4) 在控制台下进入openssl目录;
5) 运行perl Configure VC-WIN32,其他可选项参见2.2.1节;
6) ms\do_ms.bak
7) nmake -f ms\ntdll.mak(动态库)或者nmake –f ms\nt.mak(静态库);
编译debug版本在ms\do_ms.bat中加上debug,,见INSTALL.W32,具体做法如下:
编辑do_ms.bak,修改前内容如下:
perl util\mkfiles.pl >MINFO
perl util\mk1mf.pl no-asm VC-WIN32 >ms\nt.mak
perl util\mk1mf.pl dll no-asm VC-WIN32 >ms\ntdll.mak
perl util\mk1mf.pl no-asm VC-CE >ms\ce.mak
perl util\mk1mf.pl dll no-asm VC-CE >ms\cedll.mak
perl util\mkdef.pl 32 libeay > ms\libeay32.def
perl util\mkdef.pl 32 ssleay > ms\ssleay32.def
添加debug后如下:
perl util\mkfiles.pl >MINFO
perl util\mk1mf.pl debug no-asm VC-WIN32 >ms\nt.mak #添加debug
perl util\mk1mf.pl debug dll no-asm VC-WIN32 >ms\ntdll.mak #添加debug
perl util\mk1mf.pl debug no-asm VC-CE >ms\ce.mak #添加debug
perl util\mk1mf.pl debug dll no-asm VC-CE >ms\cedll.mak #添加debug
perl util\mkdef.pl 32 libeay > ms\libeay32.def
perl util\mkdef.pl 32 ssleay > ms\ssleay32.def
安装完毕后,生成的头文件放在inc32目录,动/静态库和可执行文件放在outdll目录。
2.3、学习方法
通过学习openssl,用户能够学到PKI方面的各种知识,其重要性不言而喻。以下为学习openssl的方法,供参考。
1) 建立学习环境
建立一个供调试的openssl环境,可以是windows平台,也可以是linux或者其他平台。用户需有在这些平台下调试源代码的能力。
2)学习openssl的命令
通过openssl命令的学习,对openssl有基本的了解。
3) 学习openssl源代码并调试
主要的源代码有:
apps目录下的各个程序,对应于openssl的各项命令;
demos下的各种源代码;
engines下的各种engine实现;
test目录下的各种源代码。
对于openssl函数的学习,主要查看openssl自身是如何调用的,或者查看函数的实现。对于openssl中只有实现而没有调用的函数,读者需要自己写源码或研究源代码去学习。
4) 学会使用openssl的asn.1编解码
openssl中很多函数和源码都涉及到asn1编解码,比如数字证书申请、数字证书、crl、ocsp、pkcs7、pkcs8、pkcs12等。
5) 查找资料
Linux下主要用man就能查看openssl命令和函数的帮助。Windows用户可用到www.openss.org去查看在线帮助文档,或者用linux下的命令man2html将帮助文档装换为html格式。用户也可以访问openssl.cn论坛来学习openssl。
6) 学习openssl相关书籍
读者可以参考《OpenSSL与网络信息安全--基础、结构和指令》、《Network Security with OpenSSL》(OReilly出版)和《OpenSSL for windows Developer’s Guide》。