OpenSSL故障排查Debian篇

在Debian系統上排查OpenSSL故障可以參考以下步驟：

1. 確認OpenSSL版本： 使用命令 openssl version 來確認當前安裝的OpenSSL版本。

2. 檢查配置文件： 檢查 /etc/openssl/openssl.cnf 文件，確保配置正確。特別注意以下配置項：

   [ req ]
   default_bits       = 2048
   default_keyfile    = privkey.pem
   distinguished_name = req_distinguished_name
   req_extensions     = req_ext
   x509_extensions    = v3_ca
   string_mask         = utf8only
   
   [ req_distinguished_name ]
   countryName                 = Country Name (2 letter code)
   countryName_default         = US
   stateOrProvinceName         = State or Province Name (full name)
   stateOrProvinceName_default = Washington
   localityName                = Locality Name (eg, city)
   localityName_default        = Redmond
   organizationName            = Organization Name (eg, company)
   organizationName_default    = Microsoft
   commonName                  = Common Name (e.g. server FQDN or YOUR name)
   commonName_default          = localhost
   commonName_max              = 64
   
   [ v3_ca ]
   subjectAltName          = @alt_names
   
   [ req_ext ]
   subjectAltName          = @alt_names
   
   [ alt_names ]
   DNS.1   = localhost
   DNS.2   = 127.0.0.1
   

3. 查看錯誤日志： 檢查 /var/log/openssl.log 或系統日志（如 journalctl -xe）以獲取詳細的錯誤信息。

4. 測試證書和密鑰： 使用以下命令測試證書和密鑰是否匹配：

   openssl x509 -noout -modulus -in /path/to/certificate.pem | openssl md5
   openssl md5 /path/to/privatekey.pem
   

   這兩個命令應該輸出相同的哈希值。

5. 重啟OpenSSL服務： 如果修改了配置文件，確保重啟OpenSSL服務以應用更改：

   sudo systemctl restart openssl
   

6. 檢查系統資源： 確保系統有足夠的資源（如內存和CPU）運行OpenSSL。

通過這些步驟，可以有效排查和解決Debian系統上的OpenSSL故障。