Debian OpenSSL如何配置客户端认证

在Debian系统上配置OpenSSL客户端认证，通常涉及以下几个步骤：

1. 生成客户端证书和私钥：
   使用OpenSSL生成客户端证书和私钥。

   openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout client.key -out client.crt -subj "/CN=clientname"
   

   这将生成client.key（客户端私钥）和client.crt（客户端证书）。

2. 配置OpenSSL客户端：
   编辑或创建OpenSSL配置文件（通常是~/.openssl/openssl.cnf），添加客户端认证相关的配置。

   [ req ]
   default_bits        = 2048
   prompt              = no
   default_md          = sha256
   req_extensions      = req_ext
   
   [ req_distinguished_name ]
   countryName                     = Country Name (2 letter code)
   stateOrProvinceName             = State or Province Name
   localityName                    = Locality Name
   organizationName                = Organization Name
   organizationalUnitName          = Organizational Unit Name
   commonName                      = Common Name
   
   [ req_ext ]
   subjectAltName = @alt_names
   
   [ alt_names ]
   DNS.1 = example.com
   DNS.2 = www.example.com
   
   [ v3_req ]
   keyUsage = digitalSignature, nonRepudiation, keyEncipherment
   extendedKeyUsage = clientAuth
   

3. 配置服务器：
   如果你在配置服务器（如Apache、Nginx等）以使用客户端证书认证，需要在服务器配置中指定客户端证书验证。

   • Apache：
     在/etc/apache2/sites-available/default-ssl.conf或相应的SSL配置文件中添加以下内容：

     SSLVerifyClient require
     SSLCACertificateFile /path/to/ca.crt
     SSLVerifyDepth 10
     

   • Nginx：
     在/etc/nginx/sites-available/default或相应的SSL配置文件中添加以下内容：

     ssl_client_certificate /path/to/ca.crt;
     ssl_verify_client on;
     

4. 测试客户端认证：
   使用OpenSSL命令行工具测试客户端认证。

   openssl s_client -connect example.com:443 -cert client.crt -key client.key
   

   如果配置正确，服务器将要求客户端证书认证，并验证客户端证书的有效性。

5. 重启服务：
   根据你配置的服务（如Apache、Nginx等），重启服务以应用更改。

   sudo systemctl restart apache2
   # 或者
   sudo systemctl restart nginx
   

通过以上步骤，你应该能够在Debian系统上成功配置OpenSSL客户端认证。