Shell脚本实现生成SSL自签署证书
来源: 阅读:715 次 日期:2015-01-30 15:08:49
温馨提示: 小编为您整理了“Shell脚本实现生成SSL自签署证书”,方便广大网友查阅!

启用 apache 的 mod_ssl 之后需要有证书才能正常运作。写了个脚本来操作。首先要确定机器上已经有 openssl 。

代码如下:

#!/bin/sh

#

# ssl 证书输出的根目录。

sslOutputRoot="/etc/apache_ssl"

if [ $# -eq 1 ]; then

sslOutputRoot=$1

fi

if [ ! -d ${sslOutputRoot} ]; then

mkdir -p ${sslOutputRoot}

fi

cd ${sslOutputRoot}

echo "开始创建CA根证书..."

#

# 创建CA根证书,稍后用来签署用于服务器的证书。如果是通过商业性CA如

# Verisign 或 Thawte 签署证书,则不需要自己来创建根证书,而是应该

# 把后面生成的服务器 csr 文件内容贴入一个web表格,支付签署费用并

# 等待签署的证书。关于商业性CA的更多信息请参见:

# Verisign -

# Thawte Consulting -

# CertiSign Certificadora Digital Ltda. -

# IKS GmbH - /

# Uptime Commerce Ltd. -

# BelSign NV/SA -

# 生成CA根证书私钥

openssl genrsa -des3 -out ca.key 1024

# 生成CA根证书

# 根据提示填写各个字段, 但注意 Common Name 最好是有效根域名(如 zeali.net ),

# 并且不能和后来服务器证书签署请求文件中填写的 Common Name 完全一样,否则会

# 导致证书生成的时候出现

# error 18 at 0 depth lookup:self signed certificate 错误

openssl req -new -x509 -days 365 -key ca.key -out ca.crt

echo "CA根证书创建完毕。"

echo "开始生成服务器证书签署文件及私钥 ..."

#

# 生成服务器私钥

openssl genrsa -des3 -out server.key 1024

# 生成服务器证书签署请求文件, Common Name 最好填写使用该证书的完整域名

# (比如: security.zeali.net )

openssl req -new -key server.key -out server.csr

ls -altrh ${sslOutputRoot}/server.*

echo "服务器证书签署文件及私钥生成完毕。"

echo "开始使用CA根证书签署服务器证书签署文件 ..."

#

# 签署服务器证书,生成server.crt文件

# 参见

# sign.sh START

#

# Sign a SSL Certificate Request (CSR)

# Copyright (c) 1998-1999 Ralf S. Engelschall, All Rights Reserved.

#

CSR=server.csr

case $CSR in

*.csr ) CERT="`echo $CSR | sed -e 's/\.csr/.crt/'`" ;;

* ) CERT="$CSR.crt" ;;

esac

# make sure environment exists

if [ ! -d ca.db.certs ]; then

mkdir ca.db.certs

fi

if [ ! -f ca.db.serial ]; then

echo '01' >ca.db.serial

fi

if [ ! -f ca.db.index ]; then

cp /dev/null ca.db.index

fi

# create an own SSLeay config

# 如果需要修改证书的有效期限,请修改下面的 default_days 参数.

# 当前设置为10年.

cat >ca.config <<EOT

[ ca ]

default_ca = CA_own

[ CA_own ]

dir = .

certs = ./certs

new_certs_dir = ./ca.db.certs

database = ./ca.db.index

serial = ./ca.db.serial

RANDFILE = ./ca.db.rand

certificate = ./ca.crt

private_key = ./ca.key

default_days = 3650

default_crl_days = 30

default_md = md5

preserve = no

policy = policy_anything

[ policy_anything ]

countryName = optional

stateOrProvinceName = optional

localityName = optional

organizationName = optional

organizationalUnitName = optional

commonName = supplied

emailAddress = optional

EOT

# sign the certificate

echo "CA signing: $CSR -> $CERT:"

openssl ca -config ca.config -out $CERT -infiles $CSR

echo "CA verifying: $CERT <-> CA cert"

openssl verify -CAfile ./certs/ca.crt $CERT

# cleanup after SSLeay

rm -f ca.config

rm -f ca.db.serial.old

rm -f ca.db.index.old

# sign.sh END

echo "使用CA根证书签署服务器证书签署文件完毕。"

# 使用了 ssl 之后,每次启动 apache 都要求输入 server.key 的口令,

# 你可以通过下面的方法去掉口令输入(如果不希望去掉请注释以下几行代码):

echo "去除 apache 启动时必须手工输入密钥密码的限制:"

cp -f server.key server.key.org

openssl rsa -in server.key.org -out server.key

echo "去除完毕。"

# 修改 server.key 的权限,保证密钥安全

chmod 400 server.key

echo "Now u can configure apache ssl with following:"

echo -e "\tSSLCertificateFile ${sslOutputRoot}/server.crt"

echo -e "\tSSLCertificateKeyFile ${sslOutputRoot}/server.key"

# die gracefully

exit 0

更多信息请查看IT技术专栏

更多信息请查看网页制作
由于各方面情况的不断调整与变化, 提供的所有考试信息和咨询回复仅供参考,敬请考生以权威部门公布的正式信息和咨询为准!
关于我们 | 联系我们 | 人才招聘 | 网站声明 | 网站帮助 | 非正式的简要咨询 | 简要咨询须知 | 加入群交流 | 手机站点 | 投诉建议
工业和信息化部备案号:滇ICP备2023014141号-1 云南省教育厅备案号:云教ICP备0901021 滇公网安备53010202001879号 人力资源服务许可证:(云)人服证字(2023)第0102001523号
云南网警备案专用图标
联系电话:0871-65317125(9:00—18:00) 获取招聘考试信息及咨询关注公众号:
咨询QQ:526150442(9:00—18:00)版权所有:
云南网警报警专用图标
Baidu
map