在Rathole项目中创建自签名TLS证书的完整指南

在Rathole项目中创建自签名TLS证书的完整指南

rathole A lightweight and high-performance reverse proxy for NAT traversal, written in Rust. An alternative to frp and ngrok. 项目地址: https://gitcode.com/gh_mirrors/ra/rathole

前言

在现代网络通信中，TLS(传输层安全)协议已成为保障数据传输安全的重要技术。对于Rathole这样的内网穿透工具而言，配置TLS加密可以显著提升通信安全性。本文将详细介绍如何使用OpenSSL工具链为Rathole项目创建自签名TLS证书。

准备工作

在开始之前，请确保你的系统已安装OpenSSL工具。大多数Linux发行版和macOS系统都预装了OpenSSL，Windows用户可以从OpenSSL官网获取安装包。

创建证书颁发机构(CA)

自签名证书体系的核心是建立自己的证书颁发机构(CA)。以下是创建CA的步骤：

openssl req -x509 \
            -sha256 -days 356 \
            -nodes \
            -newkey rsa:2048 \
            -subj "/CN=MyOwnCA/C=US/L=San Fransisco" \
            -keyout rootCA.key -out rootCA.crt

这段命令执行以下操作：

• 使用RSA 2048位加密算法生成密钥对
• 设置证书有效期为356天
• 指定证书主题信息(CN=通用名称，C=国家，L=地区)
• 输出CA私钥(rootCA.key)和证书(rootCA.crt)

生成服务器私钥

服务器需要自己的私钥用于TLS握手过程：

openssl genrsa -out server.key 2048

这条命令生成一个2048位的RSA私钥并保存到server.key文件中。

创建证书签名请求(CSR)

CSR是向CA申请证书的请求文件，包含服务器信息和公钥：

cat > csr.conf <<EOF
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
C = US
ST = California
L = San Fransisco
O = Someone
OU = Someone
CN = localhost

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = localhost
EOF

openssl req -new -key server.key -out server.csr -config csr.conf

配置文件csr.conf定义了：

• 密钥位数(2048)
• 哈希算法(sha256)
• 主题信息(国家、地区、组织等)
• 主题备用名称(SAN)，这里设置为localhost

生成服务器证书

使用CA签署CSR生成服务器证书：

cat > cert.conf <<EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = localhost
EOF

openssl x509 -req \
    -in server.csr \
    -CA rootCA.crt -CAkey rootCA.key \
    -out server.crt \
    -days 365 \
    -sha256 -extfile cert.conf

cert.conf文件定义了证书扩展属性，包括：

• 密钥用途(数字签名、加密等)
• 基本约束(非CA证书)
• 主题备用名称

生成PKCS#12格式证书

某些应用可能需要PKCS#12格式的证书：

openssl pkcs12 -export -out identity.pfx -inkey server.key -in server.crt -certfile rootCA.crt \
    -passout pass:1234 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES

这条命令将私钥、服务器证书和CA证书打包成PKCS#12格式文件(identity.pfx)，并设置密码为"1234"。

清理临时文件

最后，清理生成过程中产生的临时文件：

rm server.csr csr.conf cert.conf

在Rathole中使用证书

生成的证书可以用于配置Rathole的TLS加密通信。在Rathole配置文件中，你需要指定：

• 服务器证书路径(server.crt)
• 服务器私钥路径(server.key)
• (可选)CA证书路径(rootCA.crt)用于客户端验证

安全注意事项

1. 私钥文件(如rootCA.key和server.key)应严格保护，避免泄露
2. 生产环境中应考虑使用专业CA颁发的证书
3. 定期轮换证书以增强安全性
4. 根据实际需求调整证书有效期

总结

通过本文的步骤，你已经成功创建了一套完整的自签名TLS证书体系，包括CA证书、服务器证书和PKCS#12格式证书。这些证书可以用于Rathole项目的安全通信配置，为你的内网穿透服务提供加密保护。

记住，自签名证书适合测试和开发环境使用，生产环境建议考虑使用受信任的CA颁发的证书以获得更好的兼容性和安全性。

rathole A lightweight and high-performance reverse proxy for NAT traversal, written in Rust. An alternative to frp and ngrok. 项目地址: https://gitcode.com/gh_mirrors/ra/rathole