OpenSSL crt & key (生成一套用于TLS双向认证的证书密钥)

Nerd Nirvana2025-02-22 22:08

OpenSSL------ TLS证书

问:如何生成一套TLS证书、密钥呢?

生成一套 TLS 证书,包括 根 CA 证书、服务器证书、客户端证书 ,可以使用 openssl 命令来完成。完整的步骤如下,包括根 CA、服务器证书和客户端证书的生成。

📌 1. 生成 CA 证书(根证书)

根 CA 证书用于签发服务器和客户端证书,确保它们可以互相验证身份。

bash 复制代码 
# 生成 CA 私钥 (2048-bit)
openssl genrsa -out ca.key 2048

# 生成 CA 证书 (自签名,有效期 10 年)
openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=MyCompany/OU=IT Department/CN=MyRootCA"

生成的文件:

  • ca.key → CA 私钥
  • ca.crt → CA 证书(用于签发其他证书)

📌 2. 生成服务器证书

服务器证书用于 TLS 服务器身份认证。

🔹 2.1 生成服务器私钥

bash 复制代码 
openssl genrsa -out server.key 2048

🔹 2.2 生成服务器 CSR(证书签名请求)

bash 复制代码 
openssl req -new -key server.key -out server.csr \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=MyCompany/OU=IT Department/CN=server.example.com"

🔹 2.3 使用 CA 证书签发服务器证书

bash 复制代码 
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial \
    -out server.crt -days 365 -sha256

生成的文件:

  • server.key → 服务器私钥
  • server.csr → 服务器证书签名请求
  • server.crt → 服务器证书(由 CA 签发)

📌 3. 生成客户端证书

客户端证书用于客户端认证。

🔹 3.1 生成客户端私钥

bash 复制代码 
openssl genrsa -out client.key 2048

🔹 3.2 生成客户端 CSR

bash 复制代码 
openssl req -new -key client.key -out client.csr \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=MyCompany/OU=IT Department/CN=client.example.com"

🔹 3.3 使用 CA 证书签发客户端证书

bash 复制代码 
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial \
    -out client.crt -days 365 -sha256

生成的文件:

  • client.key → 客户端私钥
  • client.csr → 客户端证书签名请求
  • client.crt → 客户端证书(由 CA 签发)

📌 4. 证书验证

🔹 4.1 验证服务器证书

bash 复制代码 
openssl verify -CAfile ca.crt server.crt

如果成功,输出:

复制代码 
server.crt: OK

🔹 4.2 验证客户端证书

bash 复制代码 
openssl verify -CAfile ca.crt client.crt

如果成功,输出:

复制代码 
client.crt: OK

📌 5. 证书使用

  • 服务器 需要 server.keyserver.crt 进行 TLS 连接,并且需要 ca.crt 验证客户端证书。
  • 客户端 需要 client.keyclient.crt 进行 TLS 连接,并且需要 ca.crt 验证服务器证书。

📌 6. 示例:使用 OpenSSL 进行双向 TLS 认证

🔹 服务器端

bash 复制代码 
openssl s_server -accept 4059 -cert server.crt -key server.key -CAfile ca.crt -verify 1

🔹 客户端

bash 复制代码 
openssl s_client -connect 127.0.0.1:4059 -cert client.crt -key client.key -CAfile ca.crt

📌 总结

证书/密钥 作用
ca.key 根 CA 私钥
ca.crt 根 CA 证书,用于签发其他证书
server.key 服务器私钥
server.crt 服务器证书(CA 签发)
server.csr 服务器证书签名请求
client.key 客户端私钥
client.crt 客户端证书(CA 签发)
client.csr 客户端证书签名请求

该过程完整生成了一套 CA 证书、服务器证书、客户端证书,适用于 TLS 服务器与客户端双向认证。

相关推荐
bantinghy4 小时前
Linux系统TCP/IP网络参数优化
linux·网络·tcp/ip
星期天要睡觉4 小时前
Linux 综合练习
linux·运维·服务器
saynaihe5 小时前
proxmox8升级到proxmox9
linux·运维·服务器
Orchestrator_me5 小时前
CentOS交换区处理
linux·运维·centos
zru_96025 小时前
centos 系统如何安装open jdk 8
java·linux·centos
FLS1685 小时前
VMwaer虚拟机安装完Centos后无法联网问题
linux·运维·centos
OctopusMonster5 小时前
centos下gdb调试python的core文件
linux·运维·centos
snowfoootball6 小时前
(自用)Linux 常用命令自查文档
linux·运维·服务器
R-G-B7 小时前
Linux常见命令总结 合集二:基本命令、目录操作命令、文件操作命令、压缩文件操作、查找命令、权限命令、其他命令
linux·基本命令·目录操作命令·linux常见命令·压缩文件操作·权限命令·查找命令
Chukai1237 小时前
Windows 和 Linux 系统下修改防火墙机制开放端口
linux·运维·windows
热门推荐
012025 年高教社杯全国大学生数学建模竞赛C 题 NIPT 的时点选择与胎儿的异常判定 完整成品思路模型代码分享,全网首发高质量!!!022025年数学建模国赛C题超详细解题思路032025全国大学生数学建模C题保姆级思路模型(持续更新):NIPT 的时点选择与胎儿的异常判定042025高教社杯国赛数学建模选题建议+初步分析052025国赛B题保姆级教程思路分析 碳化硅外延层厚度的确定06UV安装并设置国内源07奈飞工厂官网,国内Netflix影视在线看|中文网页电脑版入口08KGG转MP3工具|非KGM文件|解密音频09(E题|AI 辅助智能体测)2025年高教杯全国大学生数学建模国赛解题思路|完整代码论文集合10不再让Windows更新!&Edge游戏助手卸载及关闭自动更新