Как сгенерировать TLS сертификат клиента

06.02.2019

Безопасность, Сети

Комментариев нет

Чтобы сгенерировать TLS-сертификат для клиента, можно использовать инструменты OpenSSL. Приведённый ниже пример включает создание собственного центра сертификации (CA), генерацию клиентского ключа и запроса на сертификат (CSR), а затем выпуск клиентского сертификата.

Шаги для генерации TLS-сертификата клиента

1. Создание корневого сертификата (CA)

Сначала необходимо создать собственный сертификат CA, который будет подписывать клиентские сертификаты.

# Сгенерировать приватный ключ для CA
openssl genrsa -out ca.key 2048

# Создать корневой сертификат CA
openssl req -x509 -new -nodes -key ca.key -sha256 -days 365 -out ca.crt

# Сгенерировать приватный ключ для CA

openssl genrsa -out ca.key 2048

# Создать корневой сертификат CA

openssl req -x509 -new -nodes -key ca.key -sha256 -days 365 -out ca.crt

В процессе создания корневого сертификата будет предложено ввести информацию, такую как страна, организация и т.д.

2. Генерация приватного ключа клиента

Теперь сгенерируем приватный ключ для клиента:

openssl genrsa -out client.key 2048

1 2	openssl genrsa -out client.key 2048

3. Создание запроса на подпись сертификата (CSR)

С помощью ключа клиента создадим запрос на подпись сертификата (CSR):

openssl req -new -key client.key -out client.csr

1 2	openssl req -new -key client.key -out client.csr

В ходе этого шага вам снова предложат ввести информацию о клиенте (страна, организация и т.д.). Особое внимание обратите на поле Common Name (CN), которое должно содержать уникальный идентификатор клиента.

4. Подпись клиентского сертификата с помощью CA

Для завершения процесса сгенерируем клиентский сертификат, подписанный вашим собственным CA:

openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365 -sha256

1 2	openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365 -sha256

Эта команда создает файл клиентского сертификата client.crt, который будет действителен в течение 365 дней.

5. (Необязательно) Объединение сертификата и ключа в один файл (PKCS#12)

Если необходимо объединить клиентский сертификат и ключ в файл PKCS#12 для удобного использования, выполните следующую команду:

openssl pkcs12 -export -out client.p12 -inkey client.key -in client.crt -certfile ca.crt

1 2	openssl pkcs12 -export -out client.p12 -inkey client.key -in client.crt -certfile ca.crt

Пример использования клиента с TLS

Теперь у вас есть ключи и сертификаты, которые можно использовать для TLS-авторизации, например, для REST API или в других сетевых сервисах. Клиентские сертификаты вместе с ca.crt можно использовать для настроек mTLS.

Заключение

Вы успешно сгенерировали TLS-сертификат для клиента, используя собственный CA. Эта процедура может быть полезна для настройки шифрованных соединений между клиентом и сервером, а также для организации взаимной аутентификации (mTLS).