1. 生成CA根证书
生成客户端证书前需先创建CA根证书作为信任锚点。通过OpenSSL工具执行以下步骤:
- 创建CA配置文件(ca.conf),定义加密算法、机构信息等参数
- 执行命令生成4096位私钥:
openssl genrsa -out ca.key 4096 - 生成自签名根证书:
openssl req -x509 -new -key ca.key -out ca.crt -days 3650
2. 创建客户端私钥与CSR
客户端证书需包含唯一标识信息,通过CSR文件提交给CA签名:
- 生成2048位RSA私钥:
openssl genrsa -out client.key 2048 - 创建证书签名请求:
openssl req -new -key client.key -out client.csr - CSR中需包含与服务器域名匹配的Common Name字段
3. 签发客户端证书
使用CA私钥对客户端CSR进行签名:
- 执行签名命令:
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365 - 生成包含完整证书链的.pem文件
- 验证证书指纹:
openssl x509 -in client.crt -noout -fingerprint
4. 安装与配置证书
部署客户端证书需完成以下配置:
- 将CA根证书导入客户端信任库
- 在Nginx配置中启用双向认证:
ssl_verify_client on; - 指定证书文件路径:
ssl_certificate和ssl_certificate_key
通过CA签名的客户端证书可建立双向SSL认证体系,有效增强通信安全性。关键步骤包括CA根证书生成、客户端密钥管理、CSR签名验证等环节,需严格遵循密码学规范实施。
