• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    Shell脚本实现生成SSL自签署证书

    启用 apache 的 mod_ssl 之后需要有证书才能正常运作。写了个脚本来操作。首先要确定机器上已经有 openssl 。

    复制代码 代码如下:

    #!/bin/sh
    #

    # ssl 证书输出的根目录。
    sslOutputRoot="/etc/apache_ssl"
    if [ $# -eq 1 ]; then
     sslOutputRoot=$1
    fi
    if [ ! -d ${sslOutputRoot} ]; then
     mkdir -p ${sslOutputRoot}
    fi

    cd ${sslOutputRoot}

    echo "开始创建CA根证书..."
    #
    # 创建CA根证书,稍后用来签署用于服务器的证书。如果是通过商业性CA如
    # Verisign 或 Thawte 签署证书,则不需要自己来创建根证书,而是应该
    # 把后面生成的服务器 csr 文件内容贴入一个web表格,支付签署费用并
    # 等待签署的证书。关于商业性CA的更多信息请参见:
    # Verisign - http://digitalid.verisign.com/server/apacheNotice.htm
    # Thawte Consulting - http://www.thawte.com/certs/server/request.html
    # CertiSign Certificadora Digital Ltda. - http://www.certisign.com.br
    # IKS GmbH - http://www.iks-jena.de/produkte/ca /
    # Uptime Commerce Ltd. - http://www.uptimecommerce.com
    # BelSign NV/SA - http://www.belsign.be
    # 生成CA根证书私钥
    openssl genrsa -des3 -out ca.key 1024

    # 生成CA根证书
    # 根据提示填写各个字段, 但注意 Common Name 最好是有效根域名(如 zeali.net ),
    # 并且不能和后来服务器证书签署请求文件中填写的 Common Name 完全一样,否则会
    # 导致证书生成的时候出现
    # error 18 at 0 depth lookup:self signed certificate 错误
    openssl req -new -x509 -days 365 -key ca.key -out ca.crt
    echo "CA根证书创建完毕。"

    echo "开始生成服务器证书签署文件及私钥 ..."
    #
    # 生成服务器私钥
    openssl genrsa -des3 -out server.key 1024
    # 生成服务器证书签署请求文件, Common Name 最好填写使用该证书的完整域名
    # (比如: security.zeali.net )
    openssl req -new -key server.key -out server.csr 
    ls -altrh  ${sslOutputRoot}/server.*
    echo "服务器证书签署文件及私钥生成完毕。"

    echo "开始使用CA根证书签署服务器证书签署文件 ..."
    #
    # 签署服务器证书,生成server.crt文件
    # 参见 http://www.faqs.org/docs/securing/chap24sec195.html
    #  sign.sh START
    #
    #  Sign a SSL Certificate Request (CSR)
    #  Copyright (c) 1998-1999 Ralf S. Engelschall, All Rights Reserved.
    #

    CSR=server.csr

    case $CSR in
    *.csr ) CERT="`echo $CSR | sed -e 's/\.csr/.crt/'`" ;;
    * ) CERT="$CSR.crt" ;;
    esac

    #   make sure environment exists
    if [ ! -d ca.db.certs ]; then
     mkdir ca.db.certs
    fi
    if [ ! -f ca.db.serial ]; then
     echo '01' >ca.db.serial
    fi
    if [ ! -f ca.db.index ]; then
     cp /dev/null ca.db.index
    fi

    #   create an own SSLeay config
    # 如果需要修改证书的有效期限,请修改下面的 default_days 参数.
    # 当前设置为10年.
    cat >ca.config EOT
    [ ca ]
    default_ca = CA_own
    [ CA_own ]
    dir = .
    certs = ./certs
    new_certs_dir = ./ca.db.certs
    database = ./ca.db.index
    serial = ./ca.db.serial
    RANDFILE = ./ca.db.rand
    certificate = ./ca.crt
    private_key = ./ca.key
    default_days = 3650
    default_crl_days = 30
    default_md = md5
    preserve = no
    policy = policy_anything
    [ policy_anything ]
    countryName = optional
    stateOrProvinceName = optional
    localityName = optional
    organizationName = optional
    organizationalUnitName = optional
    commonName = supplied
    emailAddress = optional
    EOT

    #  sign the certificate
    echo "CA signing: $CSR -> $CERT:"
    openssl ca -config ca.config -out $CERT -infiles $CSR
    echo "CA verifying: $CERT -> CA cert"
    openssl verify -CAfile ./certs/ca.crt $CERT

    #  cleanup after SSLeay
    rm -f ca.config
    rm -f ca.db.serial.old
    rm -f ca.db.index.old
    #  sign.sh END
    echo "使用CA根证书签署服务器证书签署文件完毕。"


    # 使用了 ssl 之后,每次启动 apache 都要求输入 server.key 的口令,
    # 你可以通过下面的方法去掉口令输入(如果不希望去掉请注释以下几行代码):
    echo "去除 apache 启动时必须手工输入密钥密码的限制:"
    cp -f server.key server.key.org
    openssl rsa -in server.key.org -out server.key
    echo "去除完毕。"


    # 修改 server.key 的权限,保证密钥安全
    chmod 400 server.key

    echo "Now u can configure apache ssl with following:"
    echo -e "\tSSLCertificateFile ${sslOutputRoot}/server.crt"
    echo -e "\tSSLCertificateKeyFile ${sslOutputRoot}/server.key"

    #  die gracefully
    exit 0

    上一篇:getcwd cannot access parent directories错误解决方法
    下一篇:Shell脚本实现乱序排列文件内容的多种方法(洗牌问题)
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    Shell脚本实现生成SSL自签署证书 Shell,脚本,实现,生成,SSL,