温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

Shell脚本实现生成SSL自签署证书

发布时间:2020-08-08 19:08:00 来源:ITPUB博客 阅读:281 作者:零三邓何芯桃379 栏目:建站服务器

这篇文章主要介绍了Shell脚本实现生成SSL自签署证书,本文直接给出实现代码,代码中包含大量注释,需要的朋友可以参考下

启用 apache 的 mod_ssl 之后需要有证书才能正常运作。写了个脚本来操作。首先要确定机器上已经有 openssl 。

复制代码 代码如下:

#!/bin/sh


ssl 证书输出的根目录。

sslOutputRoot="/etc/apache_ssl"

if [ $# -eq 1 ]; then

sslOutputRoot=$1

fi

if [ ! -d ${sslOutputRoot} ]; then婴儿起名http://www.bbqmw.net/qm_yeqm

mkdir -p ${sslOutputRoot}

fi


cd ${sslOutputRoot}


echo “开始创建CA根证书…”


创建CA根证书,稍后用来签署用于服务器的证书。如果是通过商业性CA如

Verisign 或 Thawte 签署证书,则不需要自己来创建根证书,而是应该

把后面生成的服务器 csr 文件内容贴入一个web表格,支付签署费用并

等待签署的证书。关于商业性CA的更多信息请参见:

Verisign - http://digitalid.verisign.com/server/apacheNotice.htm

Thawte Consulting - http://www.thawte.com/certs/server/request.html

CertiSign Certificadora Digital Ltda. - http://www.certisign.com.br

IKS GmbH - http://www.iks-jena.de/produkte/ca /

Uptime Commerce Ltd. - http://www.uptimecommerce.com

BelSign NV/SA - http://www.belsign.be

生成CA根证书私钥

openssl genrsa -des3 -out ca.key 1024


生成CA根证书

根据提示填写各个字段, 但注意 Common Name 最好是有效根域名(如 zeali.net ),

并且不能和后来服务器证书签署请求文件中填写的 Common Name 完全一样,否则会

导致证书生成的时候出现

error 18 at 0 depth lookup:self signed certificate 错误

openssl req -new -x509 -days 365 -key ca.key -out ca.crt

echo “CA根证书创建完毕。”


echo “开始生成服务器证书签署文件及私钥 …”


生成服务器私钥

openssl genrsa -des3 -out server.key 1024


生成服务器证书签署请求文件, Common Name 最好填写使用该证书的完整域名

(比如: security.zeali.net )

openssl req -new -key server.key -out server.csr

ls -altrh ${sslOutputRoot}/server.*

echo “服务器证书签署文件及私钥生成完毕。”


echo “开始使用CA根证书签署服务器证书签署文件 …”


签署服务器证书,生成server.crt文件

参见 http://www.faqs.org/docs/securing/chap24sec195.html

sign.sh START

Sign a SSL Certificate Request (CSR)

Copyright © 1998-1999 Ralf S. Engelschall, All Rights Reserved.

CSR=server.csr


case $CSR in

*.csr ) CERT="echo $CSR | sed -e 's/\.csr/.crt/'" ;;


) CERT="$CSR.crt" ;;

esac

make sure environment exists

if [ ! -d ca.db.certs ]; then

mkdir ca.db.certs

fi

if [ ! -f ca.db.serial ]; then

echo ‘01’ >ca.db.serial

fi

if [ ! -f ca.db.index ]; then

cp /dev/null ca.db.index

fi


create an own SSLeay config

如果需要修改证书的有效期限,请修改下面的 default_days 参数.

当前设置为10年.

cat >ca.config <<EOT

[ ca ]

default_ca = CA_own


向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI