欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

Shell脚本实现生成SSL自签署证书

程序员文章站 2022-06-07 22:52:58
启用 apache 的 mod_ssl 之后需要有证书才能正常运作。写了个脚本来操作。首先要确定机器上已经有 openssl 。 复制代码 代码如下: #!/bin/s...

启用 apache 的 mod_ssl 之后需要有证书才能正常运作。写了个脚本来操作。首先要确定机器上已经有 openssl 。

复制代码 代码如下:

#!/bin/sh
#

# ssl 证书输出的根目录。
ssloutputroot="/etc/apache_ssl"
if [ $# -eq 1 ]; then
 ssloutputroot=$1
fi
if [ ! -d ${ssloutputroot} ]; then
 mkdir -p ${ssloutputroot}
fi

cd ${ssloutputroot}

echo "开始创建ca根证书..."
#
# 创建ca根证书,稍后用来签署用于服务器的证书。如果是通过商业性ca如
# verisign 或 thawte 签署证书,则不需要自己来创建根证书,而是应该
# 把后面生成的服务器 csr 文件内容贴入一个web表格,支付签署费用并
# 等待签署的证书。关于商业性ca的更多信息请参见:
# verisign - http://digitalid.verisign.com/server/apachenotice.htm
# thawte consulting -
# certisign certificadora digital ltda. -
# iks gmbh - /
# uptime commerce ltd. -
# belsign nv/sa -
# 生成ca根证书私钥
openssl genrsa -des3 -out ca.key 1024

# 生成ca根证书
# 根据提示填写各个字段, 但注意 common name 最好是有效根域名(如 zeali.net ),
# 并且不能和后来服务器证书签署请求文件中填写的 common name 完全一样,否则会
# 导致证书生成的时候出现
# error 18 at 0 depth lookup:self signed certificate 错误
openssl req -new -x509 -days 365 -key ca.key -out ca.crt
echo "ca根证书创建完毕。"

echo "开始生成服务器证书签署文件及私钥 ..."
#
# 生成服务器私钥
openssl genrsa -des3 -out server.key 1024
# 生成服务器证书签署请求文件, common name 最好填写使用该证书的完整域名
# (比如: security.zeali.net )
openssl req -new -key server.key -out server.csr 
ls -altrh  ${ssloutputroot}/server.*
echo "服务器证书签署文件及私钥生成完毕。"

echo "开始使用ca根证书签署服务器证书签署文件 ..."
#
# 签署服务器证书,生成server.crt文件
# 参见
#  sign.sh start
#
#  sign a ssl certificate request (csr)
#  copyright (c) 1998-1999 ralf s. engelschall, all rights reserved.
#

csr=server.csr

case $csr in
*.csr ) cert="`echo $csr | sed -e 's/\.csr/.crt/'`" ;;
* ) cert="$csr.crt" ;;
esac

#   make sure environment exists
if [ ! -d ca.db.certs ]; then
 mkdir ca.db.certs
fi
if [ ! -f ca.db.serial ]; then
 echo '01' >ca.db.serial
fi
if [ ! -f ca.db.index ]; then
 cp /dev/null ca.db.index
fi

#   create an own ssleay config
# 如果需要修改证书的有效期限,请修改下面的 default_days 参数.
# 当前设置为10年.
cat >ca.config <<eot
[ ca ]
default_ca = ca_own
[ ca_own ]
dir = .
certs = ./certs
new_certs_dir = ./ca.db.certs
database = ./ca.db.index
serial = ./ca.db.serial
randfile = ./ca.db.rand
certificate = ./ca.crt
private_key = ./ca.key
default_days = 3650
default_crl_days = 30
default_md = md5
preserve = no
policy = policy_anything
[ policy_anything ]
countryname = optional
stateorprovincename = optional
localityname = optional
organizationname = optional
organizationalunitname = optional
commonname = supplied
emailaddress = optional
eot

#  sign the certificate
echo "ca signing: $csr -> $cert:"
openssl ca -config ca.config -out $cert -infiles $csr
echo "ca verifying: $cert <-> ca cert"
openssl verify -cafile ./certs/ca.crt $cert

#  cleanup after ssleay
rm -f ca.config
rm -f ca.db.serial.old
rm -f ca.db.index.old
#  sign.sh end
echo "使用ca根证书签署服务器证书签署文件完毕。"


# 使用了 ssl 之后,每次启动 apache 都要求输入 server.key 的口令,
# 你可以通过下面的方法去掉口令输入(如果不希望去掉请注释以下几行代码):
echo "去除 apache 启动时必须手工输入密钥密码的限制:"
cp -f server.key server.key.org
openssl rsa -in server.key.org -out server.key
echo "去除完毕。"


# 修改 server.key 的权限,保证密钥安全
chmod 400 server.key

echo "now u can configure apache ssl with following:"
echo -e "\tsslcertificatefile ${ssloutputroot}/server.crt"
echo -e "\tsslcertificatekeyfile ${ssloutputroot}/server.key"

#  die gracefully
exit 0