Debian OpenSSL如何配置更安全

Debian 上 OpenSSL 更安全配置指南

一 基线加固

• 保持系统与组件为最新：执行 sudo apt update && sudo apt full-upgrade，并确认版本 openssl version；同时优先使用受支持的 **Debian 稳定版本（如 Debian 12.x）**以获取安全修复。
• 最小化攻击面：仅开启必要的服务与端口，使用 UFW/iptables 限制入站，仅放行 SSH/HTTPS 等必要流量。
• 保护密钥与配置：私钥文件权限设为 600，属主为 root；证书与配置目录权限 700/644 分级控制；对公网服务禁用明文协议与弱算法。
• 持续审计与监控：定期查看 /var/log/ 与安全审计日志，结合自动化工具对配置与证书生命周期进行巡检。

二 配置文件 openssl.cnf 的安全要点

• 备份与定位：编辑前先备份 /etc/ssl/openssl.cnf；在需要自定义时，优先使用 /etc/ssl/openssl.cnf.d/*.cnf 的“追加式”配置，降低与上游升级的冲突风险。
• 协议与套件（服务端建议）：优先启用 TLSv1.2/TLSv1.3；禁用 SSLv2/SSLv3/TLSv1.0/TLSv1.1 与不安全套件。示例（按服务实际加载的配置文件放置）：
  • 现代 OpenSSL（1.1.1+）推荐：
    • SSLProtocol -all +TLSv1.2 +TLSv1.3
    • SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256
    • SSLHonorCipherOrder on
  • 若必须兼容旧客户端（不推荐）：
    • SSLProtocol -all +TLSv1.2
    • SSLCipherSuite HIGH:!aNULL:!MD5:!RC4:!DES:!3DES
• 安全级别与密钥长度：设置 CipherString = DEFAULT@SECLEVEL=2（要求 RSA/DHE ≥ 2048 位，禁用 SHA-1 签名等）；生成密钥时优先 RSA 3072+ 或 ECDSA P-256/P-384。
• 证书请求与扩展：在 [req] 与 [v3_req] 中设置 default_md = sha256，按需添加 keyUsage、extendedKeyUsage = serverAuth，并使用 subjectAltName（DNS/IP） 明确域名与地址，避免仅依赖 CN。
• 系统默认配置：若系统提供 system_default 段，可统一设置 MinProtocol 与 CipherString，确保调用 OpenSSL 的本地服务（如 GnuTLS/其他库）也遵循相同基线。

三 证书与密钥生命周期管理

• 获取可信证书：生产环境使用 Let’s Encrypt 或企业 CA；为所有需要的主机名与 IP 配置 SAN（Subject Alternative Name），避免通配符滥用。
• 自签名仅用于测试：生成命令示例
  • 私钥与请求：
    • openssl genpkey -algorithm RSA -out /etc/ssl/private/server.key -aes256
    • openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/certs/server.csr -subj “/CN=example.com”
  • 自签名证书（测试）：
    • openssl x509 -req -in /etc/ssl/certs/server.csr -signkey /etc/ssl/private/server.key -out /etc/ssl/certs/server.crt -days 365 -sha256
• 部署与权限：证书与私钥分别放置于 /etc/ssl/certs/ 与 /etc/ssl/private/，权限 644/600，属主 root；Web 服务器（如 Nginx/Apache）仅加载所需证书与中间证书链。
• 自动化与轮换：启用 certbot 自动续期；为内部服务建立 轮换策略（如 90 天轮换），并在变更窗口内完成部署与回滚演练。

四 服务集成与连通性验证

• Web 服务器示例（Nginx，仅展示与 SSL 相关核心项）：
  • ssl_protocols TLSv1.2 TLSv1.3;
  • ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305;
  • ssl_prefer_server_ciphers on;
  • ssl_certificate /etc/ssl/certs/server.crt; ssl_certificate_key /etc/ssl/private/server.key;
  • 修改后执行 sudo nginx -t && sudo systemctl reload nginx。
• 连通性与强度测试：
  • 基础握手与链校验：
    • openssl s_client -connect example.com:443 -servername example.com -tls1_2
    • openssl s_client -connect example.com:443 -servername example.com -tls1_3
  • 套件与协议检查：
    • nmap --script ssl-enum-ciphers -p 443 example.com
  • 证书细节与有效期：
    • openssl x509 -in /etc/ssl/certs/server.crt -noout -text -dates
• 故障排查：核查服务配置语法、证书与私钥路径与权限、以及 /var/log/ 中的错误日志。

五 运维与合规清单