2.8. 使用 GnuTLS 为 TLS 客户端证书创建私钥和 CSR

流程

1. 在客户端系统中生成私钥，例如：

   $ certtool --generate-privkey --sec-param High --outfile <example-client.key>

   Copy to Clipboard Toggle word wrap

2. 可选：使用您选择的文本编辑器准备一个简化创建 CSR 的配置文件，例如：

   $ vim <example_client.cnf>
   signing_key
   encryption_key
   
   tls_www_client
   
   cn = "client.example.com"
   email = "client@example.com"

   Copy to Clipboard Toggle word wrap

3. 使用之前创建的私钥创建 CSR：

   $ certtool --generate-request --template <example-client.cfg> --load-privkey <example-client.key> --outfile <example-client.crq>

   Copy to Clipboard Toggle word wrap

   如果省略 --template 选项 certtool 工具会提示您输入额外的信息，例如：

   Generating a PKCS #10 certificate request...
   Country name (2 chars): <US>
   State or province name: <Washington>
   Locality name: <Seattle>
   Organization name: <Example Organization>
   Organizational unit name:
   Common name: <server.example.com>

   Copy to Clipboard Toggle word wrap

验证

1. 检查证书人类可读的部分是否与您的要求匹配，例如：

   $ certtool --certificate-info --infile <example-client.crt>
   Certificate:
   …
               X509v3 Extended Key Usage:
                   TLS Web Client Authentication
               X509v3 Subject Alternative Name:
                   email:client@example.com
   …

   Copy to Clipboard Toggle word wrap