OpenSSL 加密技术专题

什么是 OpenSSL？

OpenSSL 是一个强大的开源加密库，广泛用于实现 SSL 和 TLS 协议，保障互联网通信的安全。 它支持多种加密算法（如 AES、RSA、SHA 等），可用于生成密钥、创建证书、加密解密数据等。

几乎所有 HTTPS 网站背后都依赖 OpenSSL 提供的安全能力。

核心功能概览

• 对称加密：使用同一密钥加解密（如 AES、DES）
• 非对称加密：公钥加密，私钥解密（如 RSA、ECC）
• 数字证书管理：生成 CSR、自签名证书、验证证书链
• 哈希与摘要：计算文件或数据的 SHA-1、SHA-256 等指纹
• SSL/TLS 测试：模拟客户端/服务器测试安全连接

常用命令示例

1. 对称加密（AES-256）

openssl enc -aes-256-cbc -salt -in secret.txt -out secret.enc

openssl enc -aes-256-cbc -d -in secret.enc -out decrypted.txt

2. 生成 RSA 密钥对

openssl genrsa -out private.key 2048

openssl rsa -in private.key -pubout -out public.key

3. 创建自签名证书

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365

4. 查看证书信息

openssl x509 -in cert.pem -text -noout

安全最佳实践

1. 始终使用最新版 OpenSSL，避免已知漏洞（如 Heartbleed）
2. 私钥必须严格保密，建议设置强密码保护
3. 生产环境应使用受信任 CA 签发的证书，而非自签名
4. 定期轮换密钥和证书（建议每 90 天）
5. 禁用弱加密算法（如 SSLv3、RC4、MD5）

常见问题

Q：OpenSSL 和 LibreSSL 有什么区别？
A：LibreSSL 是 OpenSSL 的一个分支，由 OpenBSD 团队维护，目标是简化代码、提升安全性。

Q：如何检查网站是否使用了安全的 TLS 配置？
A：可使用 openssl s_client -connect example.com:443 命令连接并查看协议版本与加密套件。