OpenSSL在Linux中如何實現雙向認證

在Linux中，使用OpenSSL實現雙向認證（也稱為客戶端證書認證）涉及以下幾個步驟：

1. 生成CA證書和密鑰

首先，你需要創建一個證書頒發機構（CA），并生成CA的證書和私鑰。

# 創建CA目錄
mkdir -p ca/newcerts
chmod 700 ca/newcerts

# 創建CA配置文件
cat <<EOF > ca/openssl.cnf
[ ca ]
default_ca = CA_default

[ CA_default ]
dir               = /etc/ssl/ssl-ca
certs             = \$dir/certs
crl_dir           = \$dir/crl
new_certs_dir     = \$dir/newcerts
database          = \$dir/index.txt
serial            = \$dir/serial
RANDFILE          = \$dir/private/.rand

private_key       = \$dir/private/ca.key
certificate       = \$dir/cacert.pem

crlnumber         = \$dir/crlnumber
crl               = \$dir/crl.pem
crl_extensions    = crl_ext
default_crl_days  = 30

default_md        = sha256

name_opt          = ca_default
cert_opt          = ca_default
default_days      = 3650
preserve          = no
policy            = policy_strict

[ policy_strict ]
countryName             = match
stateOrProvinceName     = match
organizationName        = match
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

[ req ]
default_bits        = 2048
distinguished_name  = req_distinguished_name
string_mask         = utf8only

[ req_distinguished_name ]
countryName                     = Country Name (2 letter code)
stateOrProvinceName               = State or Province Name
localityName                    = Locality Name
0.organizationName              = Organization Name
organizationalUnitName          = Organizational Unit Name
commonName                      = Common Name
emailAddress                    = Email Address

[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign
EOF

# 創建CA目錄結構
mkdir -p ca/{certs,crl,newcerts,private,index.txt,serial}

# 生成CA私鑰
openssl genpkey -algorithm RSA -out ca/private/ca.key -aes256

# 生成CA證書
openssl req -config ca/openssl.cnf -key ca/private/ca.key -new -x509 -days 3650 -sha256 -extensions v3_ca -out ca/cacert.pem

# 初始化索引文件和序列號文件
echo 1000 > ca/serial
touch ca/index.txt

2. 生成服務器證書和私鑰

接下來，生成服務器的證書和私鑰。

# 創建服務器目錄結構
mkdir -p server/{cert,crl,private}

# 生成服務器私鑰
openssl genpkey -algorithm RSA -out server/private/server.key -aes256

# 創建服務器證書簽名請求（CSR）
openssl req -new -key server/private/server.key -out server/server.csr -config openssl.cnf -subj "/CN=localhost"

# 使用CA證書和私鑰簽署服務器證書
openssl x509 -req -in server/server.csr -CA ca/cacert.pem -CAkey ca/private/ca.key -CAcreateserial -out server/cert/server.crt -days 365 -sha256 -extfile openssl.cnf -extensions v3_req

3. 生成客戶端證書和私鑰

然后，生成客戶端的證書和私鑰。

# 創建客戶端目錄結構
mkdir -p client/{cert,private}

# 生成客戶端私鑰
openssl genpkey -algorithm RSA -out client/private/client.key -aes256

# 創建客戶端證書簽名請求（CSR）
openssl req -new -key client/private/client.key -out client/client.csr -config openssl.cnf -subj "/CN=client"

# 使用CA證書和私鑰簽署客戶端證書
openssl x509 -req -in client/client.csr -CA ca/cacert.pem -CAkey ca/private/ca.key -CAcreateserial -out client/cert/client.crt -days 365 -sha256 -extfile openssl.cnf -extensions v3_req

4. 配置服務器以使用客戶端證書認證

編輯服務器的SSL配置文件（例如/etc/ssl/openssl.cnf），添加以下內容：

[ server ]
...
ssl_version = TLSv1.2
ssl_cipher_list = HIGH:!aNULL:!MD5
...
client_certificate = /etc/ssl/certs/ca/cacert.pem
verify_depth = 2
verify_return_error = 1
require_client_certificate = yes

5. 配置服務器以使用自己的證書和私鑰

確保服務器配置文件中包含以下內容：

[ server ]
...
certificate = /etc/ssl/certs/server/cert/server.crt
private_key = /etc/ssl/private/server.key

6. 啟動服務器

啟動服務器并監聽SSL連接。例如，如果你使用的是Apache服務器，可以這樣啟動：

sudo systemctl start apache2

7. 客戶端配置

在客戶端配置SSL連接時，需要指定客戶端證書和私鑰。例如，在使用curl時：

curl --cacert /etc/ssl/certs/ca/cacert.pem --cert /etc/ssl/certs/client/cert/client.crt --key /etc/ssl/private/client/client.key https://localhost

通過以上步驟，你就可以在Linux中使用OpenSSL實現雙向認證。