首先建立私有CA并生成根证书,然后为服务器和客户端签发证书,接着在Nginx等服务端配置双向TLS验证,要求客户端提供由CA签名的证书,最后通过curl或requests等工具携带证书访问服务,实现安全认证。
在Linux系统中构建基于证书的访问体系,核心是利用TLS(传输层安全)协议实现身份验证与加密通信。这种机制广泛用于服务间认证、远程管理、API安全等场景,能有效替代密码登录,提升系统安全性。重点在于正确配置证书颁发机构(CA)、签发客户端/服务器证书,并在服务端启用双向TLS(mTLS)验证。
搭建私有证书颁发机构(CA)
要实现基于证书的身份认证,首先需要一个可信的根证书颁发机构。Linux环境下可使用OpenSSL工具自建CA。
步骤如下:
- 生成根CA私钥:openssl genrsa -out ca.key 2048
- 生成根CA自签名证书:openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt
- 设置基础目录结构(如certs, private, crl等),维护证书数据库
ca.crt将作为信任锚点分发给所有参与方,确保后续签发的证书可被验证。
为服务器和客户端签发证书
在CA建立后,需分别为服务端和客户端生成密钥与证书请求,并由CA签署。
以Nginx服务器为例:
- 生成服务器私钥与CSR:openssl req -new -key server.key -out server.csr
- CA签署服务器证书:openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365 -sha256
客户端同样流程生成client.crt和client.key,用于向服务器证明身份。
配置服务支持双向TLS认证
以Nginx为例,启用客户端证书验证:
Nginx配置片段:
server {
listen 443 ssl;
ssl_certificate /path/to/server.crt;
ssl_certificate_key /path/to/server.key;
ssl_client_certificate /path/to/ca.crt; # 受信CA证书
ssl_verify_client on; # 启用客户端证书验证
ssl_verify_depth 2;
location / {
if ($ssl_client_verify != SUCCESS) {
return 403;
}
proxy_set_header X-Client-DN $ssl_client_s_dn; # 可传递用户信息
}}
当ssl_verify_client设为on时,客户端必须提供有效证书,且链能追溯到指定CA,否则拒绝访问。
客户端使用证书访问服务
示例(curl):
curl --cert client.crt --key client.key --cacert ca.crt https://your-server.com若使用Python requests库:
requests.get('https://your-server.com', cert=('client.crt', 'client.key'), verify='ca.crt')
证书文件应妥善保管,私钥建议设置权限600,避免泄露。
基本上就这些。整个体系依赖于CA的信任链管理,定期轮换证书、吊销机制(CRL/OCSP)也应纳入运维流程,确保长期安全性。
