PHP通過OpenSSL生成證書、密鑰並且加密解密數據,以及公鑰，私鑰和數字簽名的理解

一、公鑰加密
假設一下，我找了兩個數字，一個是1，一個是2。我喜歡2這個數字，就保留起來，不告訴你們(私鑰），然后我告訴大家，1是我的公鑰。

我有一個文件，不能讓別人看，我就用1加密了。別人找到了這個文件，但是他不知道2就是解密的私鑰啊，所以他解不開，只有我可以用
數字2，就是我的私鑰，來解密。這樣我就可以保護數據了。

我的好朋友x用我的公鑰1加密了字符a，加密后成了b，放在網上。別人偷到了這個文件，但是別人解不開，因為別人不知道2就是我的私鑰，
只有我才能解密，解密后就得到a。這樣，我們就可以傳送加密的數據了。

 

二、私鑰簽名
如果我用私鑰加密一段數據（當然只有我可以用私鑰加密，因為只有我知道2是我的私鑰），結果所有的人都看到我的內容了，因為他們都知
道我的公鑰是1，那么這種加密有什么用處呢？

但是我的好朋友x說有人冒充我給他發信。怎么辦呢？我把我要發的信，內容是c，用我的私鑰2，加密，加密后的內容是d，發給x，再告訴他
解密看是不是c。他用我的公鑰1解密，發現果然是c。
這個時候，他會想到，能夠用我的公鑰解密的數據，必然是用我的私鑰加的密。只有我知道我得私鑰，因此他就可以確認確實是我發的東西。
這樣我們就能確認發送方身份了。這個過程叫做數字簽名。當然具體的過程要稍微復雜一些。用私鑰來加密數據，用途就是數字簽名。

 

總結：公鑰和私鑰是成對的，它們互相解密。

公鑰加密，私鑰解密。

私鑰數字簽名，公鑰驗證。

 

舉例

比如有兩個用戶Alice和Bob，Alice想把一段明文通過雙鑰加密的技術發送給Bob，Bob有一對公鑰和私鑰，那么加密解密的過程如下：

1. Bob將他的公開密鑰傳送給Alice。
2. Alice用Bob的公開密鑰加密她的消息，然后傳送給Bob。
3. Bob用他的私人密鑰解密Alice的消息。

　　上面的過程可以用下圖表示，Alice使用Bob的公鑰進行加密，Bob用自己的私鑰進行解密。

 

例子和圖出自《網絡安全基礎 應用與標准第二版》

 

RSA算法

RSA 公鑰加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在（美國麻省理工學院）開發的。RSA取名來自開發他們三者的名字。RSA是目前最有影響力的公鑰加密算法，它能夠 抵抗到目前為止已知的所有密碼攻擊，已被ISO推薦為公鑰數據加密標准。RSA算法基於一個十分簡單的數論事實：將兩個大素數相乘十分容易，但那時想要對 其乘積進行因式分解卻極其困難，因此可以將乘積公開作為加密密鑰。

實例演示：

關於PHP生成證書密鑰的資料真是好少啊，查了半天，最終還是在官方文檔找到了相關資料，又根據自己的理解，整理成了以下代碼，分成兩部分：生成證書密鑰、加密解密數據。直接復制下來做成兩個文件運行就好啦。已經寫了詳細的注釋，相信PHP程序員都能看得懂。

generate.php

$dn = array(  
        "countryName" => 'XX', //所在國家名稱  
        "stateOrProvinceName" => 'State', //所在省份名稱  
        "localityName" => 'SomewhereCity', //所在城市名稱  
        "organizationName" => 'MySelf',   //注冊人姓名  
        "organizationalUnitName" => 'Whatever', //組織名稱  
        "commonName" => 'mySelf', //公共名稱  
        "emailAddress" => 'user@domain.com' //郵箱  
);  
    $privkeypass = '111111'; //私鑰密碼  
    $numberofdays = 365;     //有效時長  
    $cerpath = "./test.cer"; //生成證書路徑  
    $pfxpath = "./test.pfx"; //密鑰文件路徑  
    
    //生成證書  
    $privkey = openssl_pkey_new(); 
    $csr = openssl_csr_new($dn, $privkey);  
    $sscert = openssl_csr_sign($csr, null, $privkey, $numberofdays);  
    openssl_x509_export_to_file($sscert, $cerpath); //導出證書到文件
    openssl_pkcs12_export_to_file($sscert, $pfxpath, $privkey, $privkeypass); //生成密鑰文件  

 

crypt.php

   //私鑰加密
    $cer_key = file_get_contents($pfxpath); //獲取密鑰內容
    openssl_pkcs12_read($cer_key, $certs, $privkeypass);
    openssl_sign($data, $signMsg, $certs['pkey'],OPENSSL_ALGO_SHA1); //注冊生成加密信息
    $signMsg = base64_encode($signMsg); //base64轉碼加密信息
    echo $signMsg;
   
   
    //公鑰解密
    $cer_key = file_get_contents($cerpath); //獲取證書內容
    $unsignMsg=base64_decode($signMsg);//base64解碼加密信息
    $cer = openssl_x509_read($cer_key); //讀取公鑰
    $res = openssl_verify($data, $unsignMsg, $cer); //驗證
    echo $res; //輸出驗證結果，1：驗證成功，0：驗證失敗

 

一個簡單的加密解密類：

class RsaCrypt {
    const PRIVATE_KEY_FILE_PATH = './rsa_private_key.pem';
    const PUBLIC_KEY_FILE_PATH = './rsa_public_key.pem';

   
    public static function encode($orignData) {
        //密鑰文件的路徑
        $privateKeyFilePath = self::PRIVATE_KEY_FILE_PATH;
        extension_loaded('openssl') or die('php需要openssl擴展支持');
        (file_exists($privateKeyFilePath)) or die('密鑰的文件路徑不正確');
        //生成Resource類型的密鑰，如果密鑰文件內容被破壞，openssl_pkey_get_private函數返回false
        $privateKey = openssl_pkey_get_private(file_get_contents($privateKeyFilePath));
     
        ($privateKey) or die('密鑰不可用');
        //加密以后的數據，用於在網路上傳輸
        $encryptData = '';
        ///////////////////////////////用私鑰加密////////////////////////
        if (openssl_private_encrypt($orignData, $encryptData, $privateKey)) {
            return $encryptData;
        } else {
            die('加密失敗');
        }
    }
   
    public static function decode($encryptData) {
        //公鑰文件的路徑
        $publicKeyFilePath = self::PUBLIC_KEY_FILE_PATH;
        extension_loaded('openssl') or die('php需要openssl擴展支持');
        (file_exists($publicKeyFilePath)) or die('公鑰的文件路徑不正確');
        //生成Resource類型的公鑰，如果公鑰文件內容被破壞，openssl_pkey_get_public函數返回false
        $publicKey = openssl_pkey_get_public(file_get_contents($publicKeyFilePath));
        ($publicKey) or die('公鑰不可用');
        //解密以后的數據
        $decryptData = '';
        ///////////////////////////////用公鑰解密////////////////////////
        if (openssl_public_decrypt($encryptData, $decryptData, $publicKey)) {
            return $decryptData;
        } else {
            die('解密失敗');
        }
    }
}

 

特別說明：

x509，公鑰證書，只有公鑰。
p7，簽名或加密。可以往里面塞x509，同時沒有簽名或加密內容。
p12，含有私鑰，同時可以有公鑰，有口令保護。
p7的作用就是電子信封。
X509是基本規范
P7和P12是兩個實現規范，P7是數字信封，P12是帶有私鑰的證書規范。
x509是數字證書的規范，P7和P12是兩種封裝形式。比如說同樣的電影，有的是avi格式，有的是mpg，大概就這個意思。

P7一般是把證書分成兩個文件，一個公鑰一個私鑰，有PEM和DER兩種編碼方式。PEM比較多見，就是純文本的，P7一般是分發公鑰用，看到的就是一串可見字符串，擴展名經常是.crt,.cer,.key等。DER是二進制編碼。
P12是把證書壓成一個文件，.pfx 。主要是考慮分發證書，私鑰是要絕對保密的，不能隨便以文本方式散播。所以P7格式不適合分發。.pfx中可以加密碼保護，所以相對安全些。
在實踐中要中，用戶證書都是放在USB Key中分發，服務器證書經常還是以文件方式分發。服務器證書和用戶證書，都是X509證書，就是里面的屬性有區別。

X509 是證書規范
PKCS#7 是消息語法 （常用於數字簽名與加密）
PKCS#12 個人消息交換與打包語法 （如.PFX .P12）打包成帶公鑰與私鑰