2.4. 使用 OpenSSL 为 TLS 客户端证书创建私钥和 CSR

流程

1. 在客户端系统上生成私钥，例如：

   $ openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-256 -out <client-private.key>

   Copy to Clipboard Toggle word wrap

2. 可选：使用您选择的文本编辑器，来准备一个简化创建 CSR 的配置文件，例如：

   $ vim <example_client.cnf>
   [client-cert]
   keyUsage = critical, digitalSignature, keyEncipherment
   extendedKeyUsage = clientAuth
   subjectAltName = @alt_name
   
   [req]
   distinguished_name = dn
   prompt = no
   
   [dn]
   CN = <client.example.com>
   
   [clnt_alt_name]
   email= <client@example.com>

   Copy to Clipboard Toggle word wrap

   extendedKeyUsage = clientAuth 选项限制证书的使用。

3. 使用之前创建的私钥创建 CSR：

   $ openssl req -key <client-private.key> -config <example_client.cnf> -new -out <client-cert.csr>

   Copy to Clipboard Toggle word wrap

   如果省略了 -config 选项，req 工具会提示您额外的信息，例如：

   You are about to be asked to enter information that will be incorporated
   into your certificate request.
   …
   Common Name (eg, your name or your server's hostname) []: <client.example.com>
   Email Address []: <client@example.com>

   Copy to Clipboard Toggle word wrap

验证

1. 检查证书的人类可读部分是否与您的要求匹配，例如：

   $ openssl x509 -text -noout -in <client-cert.crt>
   Certificate:
   …
               X509v3 Extended Key Usage:
                   TLS Web Client Authentication
               X509v3 Subject Alternative Name:
                   email:client@example.com
   …

   Copy to Clipboard Toggle word wrap