如何使用自签 CA 签发服务器证书与客户端证书

少陽君2025-09-07 15:59

如何使用自签 CA 签发服务器证书与客户端证书

在上一篇文章中,我们生成了一个自签的 CA 根证书:

  • my_ca.key → 根证书私钥(保密)
  • my_ca.crt → 根证书公钥证书(可分发)

接下来,我们将用它来签发 服务器证书客户端证书,这样内部系统就可以通过 TLS/SSL 或双向认证实现安全通信。

一、签发服务器证书

1. 生成服务器私钥

bash 复制代码 
openssl genrsa -out server.key 2048
  • 生成服务器私钥文件 server.key
  • 这个私钥通常放在 Web 服务器(如 Nginx、Apache、Tomcat)上使用。

2. 生成服务器证书请求(CSR)

bash 复制代码 
openssl req -new -key server.key -out server.csr \
  -subj "/C=CN/ST=Beijing/L=Beijing/O=MyCompany/OU=Dev/CN=server.mycompany.com"
  • server.csr 是证书签名请求文件。
  • CN 要填写服务器的域名,例如 server.mycompany.com

3. 用 CA 签发服务器证书

bash 复制代码 
openssl x509 -req -in server.csr -CA my_ca.crt -CAkey my_ca.key \
  -CAcreateserial -out server.crt -days 365 -sha256

参数说明:

  • -CA my_ca.crt → 指定根证书。
  • -CAkey my_ca.key → 指定根证书私钥。
  • -CAcreateserial → 自动生成 my_ca.srl 文件(记录序列号)。
  • -days 365 → 有效期 1 年(作为懒人,还是先输入5年10年再说吧)。
  • 输出 server.crt 就是服务器证书。

4. 验证服务器证书

bash 复制代码 
openssl verify -CAfile my_ca.crt server.crt

输出:

复制代码 
server.crt: OK

说明服务器证书是由我们自签 CA 正常签发的。

二、签发客户端证书

客户端证书常用于 双向 TLS 认证(Mutual TLS),比如 VPN、内部系统登录。

1. 生成客户端私钥

bash 复制代码 
openssl genrsa -out client.key 2048

2. 生成客户端证书请求(CSR)

bash 复制代码 
openssl req -new -key client.key -out client.csr \
  -subj "/C=CN/ST=Beijing/L=Beijing/O=MyCompany/OU=IT/CN=client1"
  • CN=client1 表示客户端用户名或唯一标识。

3. 用 CA 签发客户端证书

bash 复制代码 
openssl x509 -req -in client.csr -CA my_ca.crt -CAkey my_ca.key \
  -CAcreateserial -out client.crt -days 365 -sha256

4. 验证客户端证书

bash 复制代码 
openssl verify -CAfile my_ca.crt client.crt

输出:

复制代码 
client.crt: OK

三、完整的文件清单

到这里我们有:

  • CA 文件

    • my_ca.key → 根 CA 私钥(保密)
    • my_ca.crt → 根 CA 证书(分发给系统/客户端)

  • 服务器文件

    • server.key → 服务器私钥
    • server.csr → 服务器证书请求
    • server.crt → 服务器证书

  • 客户端文件

    • client.key → 客户端私钥
    • client.csr → 客户端证书请求
    • client.crt → 客户端证书

四、使用场景

  1. 单向认证(网站 HTTPS)

    • 浏览器访问 server.mycompany.com
    • 服务器返回 server.crt
    • 浏览器检查 my_ca.crt 是否在信任列表,如果有,就认为可信。

  2. 双向认证(VPN / 内部系统登录)

    • 服务器验证客户端的 client.crt 是否由 my_ca.crt 签发。
    • 客户端验证服务器的 server.crt 是否由 my_ca.crt 签发。
    • 双方都通过 → 建立安全连接。

总结

通过前后两篇文章(如何自签CA根证书),我们完成了一个简易的 PKI 体系:

  1. 先生成自签根证书(CA)。

  2. 再用根证书签发 服务器证书客户端证书

  3. 在实际部署中:

    • CA 证书 (my_ca.crt) 导入到客户端的"受信任根证书存储区"。
    • 服务器使用 server.key + server.crt
    • 客户端使用 client.key + client.crt

这样就可以在内部系统中实现 HTTPS / 双向 TLS 认证。

相关推荐
人鱼传说6 小时前
docker desktop是一个好东西
运维·docker·容器
Thera7777 小时前
【Linux C++】彻底解决僵尸进程:waitpid(WNOHANG) 与 SA_NOCLDWAIT
linux·服务器·c++
阿梦Anmory7 小时前
Ubuntu配置代理最详细教程
linux·运维·ubuntu
呉師傅7 小时前
【使用技巧】Adobe Photoshop 2024调整缩放与布局125%后出现点菜单项漂移问题的简单处理
运维·服务器·windows·adobe·电脑·photoshop
heartbeat..7 小时前
JVM 性能调优流程实战:从开发规范到生产应急排查
java·运维·jvm·性能优化·设计规范
小Tomkk8 小时前
数据库 变更和版本控制管理工具 --Bytebase 安装部署(linux 安装篇)
linux·运维·数据库·ci/cd·bytebase
赌博羊8 小时前
ImportError: /lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.32‘ not found
linux·运维·gnu
getapi8 小时前
Ubuntu 22.04 服务器的系统架构是否为 amd64 x86_64
linux·服务器·ubuntu
消失的旧时光-19438 小时前
Linux 入门核心命令清单(工程版)
linux·运维·服务器
艾莉丝努力练剑8 小时前
【Linux:文件】Ext系列文件系统(初阶)
大数据·linux·运维·服务器·c++·人工智能·算法
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03OpenClaw Chrome扩展使用教程 - 浏览器中继控制04Linux下V2Ray安装配置指南05使用 1panel面板 部署 php网站06UV安装并设置国内源07openclaw配置教程(linux+局域网ollama)08Vue-skills的中文文档09让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南10Claude Code Skills 实用使用手册