如何使用Linux OpenSSL進行密鑰交換

在Linux系統中，使用OpenSSL進行密鑰交換通常涉及以下幾個步驟：

1. 生成密鑰對

首先，你需要為通信雙方生成公鑰和私鑰。

# 生成服務器私鑰
openssl genpkey -algorithm RSA -out server.key

# 生成服務器公鑰
openssl rsa -pubout -in server.key -out server.crt

# 生成客戶端私鑰
openssl genpkey -algorithm RSA -out client.key

# 生成客戶端公鑰
openssl rsa -pubout -in client.key -out client.crt

2. 交換公鑰

將服務器的公鑰（server.crt）發送給客戶端，將客戶端的公鑰（client.crt）發送給服務器。

3. 創建證書簽名請求（CSR）

在生成密鑰對后，你可以創建一個證書簽名請求（CSR）來向證書頒發機構（CA）申請證書。

# 創建CSR
openssl req -new -key server.key -out server.csr

4. 簽署證書

使用CA簽署CSR以生成服務器證書。

# 假設CA證書和私鑰分別為ca.crt和ca.key
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365

5. 配置SSL/TLS

配置服務器和客戶端以使用SSL/TLS進行通信。

服務器配置（例如，使用Apache）

編輯Apache配置文件（通常是/etc/apache2/sites-available/default-ssl.conf），添加以下內容：

<VirtualHost *:443>
    ServerName yourdomain.com
    SSLEngine on
    SSLCertificateFile /path/to/server.crt
    SSLCertificateKeyFile /path/to/server.key
    SSLCACertificateFile /path/to/ca.crt
</VirtualHost>

啟用SSL模塊并重啟Apache：

sudo a2enmod ssl
sudo systemctl restart apache2

客戶端配置

客戶端通常不需要特別的配置，只需確保它信任CA證書。

6. 使用OpenSSL進行密鑰交換

你可以使用OpenSSL命令行工具進行密鑰交換測試。

服務器端

openssl s_server -key server.key -cert server.crt -accept 443

客戶端

openssl s_client -connect yourdomain.com:443 -CAfile ca.crt

7. 驗證連接

確?？蛻舳四軌虺晒B接到服務器，并且通信是加密的。

openssl s_client -connect yourdomain.com:443 -CAfile ca.crt -tls1_2

通過以上步驟，你可以在Linux系統中使用OpenSSL進行密鑰交換和SSL/TLS通信。