Linux OpenSSL如何配置双向认证_产品动态_资讯中心

发布时间:2026-04-26 18:29:52

阅读量:3

在Linux系统中，使用OpenSSL配置双向认证（也称为客户端证书认证）涉及生成密钥对、创建证书签名请求（CSR）、自签名根证书以及配置服务器和客户端以使用这些证书。以下是详细步骤：

1. 生成根证书颁发机构（CA）的私钥和自签名证书

首先，生成CA的私钥：

openssl genpkey -algorithm RSA -out ca.key -aes256

然后，使用该私钥生成CA的自签名证书：

openssl req -x509 -new -nodes -key ca.key -sha256 -days 1024 -out ca.crt -subj "/C=US/ST=State/L=City/O=Organization/CN=Root CA"

2. 生成服务器的私钥和CSR

生成服务器的私钥：

openssl genpkey -algorithm RSA -out server.key -aes256

使用该私钥生成服务器的CSR：

openssl req -new -key server.key -out server.csr -subj "/C=US/ST=State/L=City/O=Organization/CN=server.example.com"

3. 使用CA证书签名服务器的CSR

使用CA的私钥和证书来签名服务器的CSR，生成服务器证书：

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 500 -sha256

4. 生成客户端的私钥和CSR

生成客户端的私钥：

openssl genpkey -algorithm RSA -out client.key -aes256

使用该私钥生成客户端的CSR：

openssl req -new -key client.key -out client.csr -subj "/C=US/ST=State/L=City/O=Organization/CN=client.example.com"

5. 使用CA证书签名客户端的CSR

使用CA的私钥和证书来签名客户端的CSR，生成客户端证书：

openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 500 -sha256

6. 配置服务器以使用SSL/TLS和客户端证书认证

编辑服务器的SSL配置文件（例如，/etc/ssl/openssl.cnf 或 /etc/httpd/conf.d/ssl.conf），确保包含以下内容：

[ CA_default ]
dir               = /etc/ssl/keys
certs             = $dir/certs
new_certs_dir     = $dir/newcerts
database          = $dir/index.txt
serial            = $dir/serial
RANDFILE          = $dir/private/.rand

[ req ]
default_bits        = 2048
distinguished_name  = req_distinguished_name
string_mask         = utf8only

[ req_distinguished_name ]
countryName                     = Country Name (2 letter code)
stateOrProvinceName             = State or Province Name
localityName                    = Locality Name
organizationName                = Organization Name
commonName                      = Common Name

[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

配置SSL/TLS部分以使用服务器证书和私钥，并启用客户端证书验证：

[ server ]
listen              = 443
cert                = /etc/ssl/keys/server.crt
key                 = /etc/ssl/keys/server.key
CAfile              = /etc/ssl/keys/ca.crt
verify_depth        = 2
verify_return_error = yes
require_client_cert = yes

7. 配置客户端以使用SSL/TLS和客户端证书

在客户端上，配置应用程序或命令行工具以使用客户端证书和私钥。例如，使用curl时可以这样配置：

curl --cacert /etc/ssl/keys/ca.crt --cert /etc/ssl/keys/client.crt --key /etc/ssl/keys/client.key https://server.example.com

8. 测试双向认证

启动服务器并尝试使用客户端证书进行连接，确保服务器正确验证了客户端证书。

通过以上步骤，您可以在Linux系统中使用OpenSSL配置双向认证。

以上就是关于“Linux OpenSSL如何配置双向认证”的相关介绍，筋斗云是国内较早的云主机应用的服务商，拥有10余年行业经验，提供丰富的云服务器、租用服务器等相关产品服务。云服务器资源弹性伸缩，主机vCPU、内存性能强悍、超高I/O速度、故障秒级恢复；电子化备案，提交快速，专业团队7×24小时服务支持！

简单好用、高性价比云服务器租用链接：https://www.jindouyun.cn/product/cvm