当前位置 主页 > 服务器问题 > Linux/apache问题 >

    Shell脚本实现生成SSL自签署证书

    栏目:Linux/apache问题 时间:2018-10-21 13:36

    这篇文章主要介绍了Shell脚本实现生成SSL自签署证书,本文直接给出实现代码,代码中包含大量注释,需要的朋友可以参考下

    启用 apache 的 mod_ssl 之后需要有证书才能正常运作。写了个脚本来操作。首先要确定机器上已经有 openssl 。
    复制代码 代码如下:
    #!/bin/sh
    #

    # ssl 证书输出的根目录。
    sslOutputRoot="/etc/apache_ssl"
    if [ $# -eq 1 ]; then
     sslOutputRoot=$1
    fi
    if [ ! -d ${sslOutputRoot} ]; then
     mkdir -p ${sslOutputRoot}
    fi

    cd ${sslOutputRoot}

    echo "开始创建CA根证书..."
    #
    # 创建CA根证书,稍后用来签署用于服务器的证书。如果是通过商业性CA如
    # Verisign 或 Thawte 签署证书,则不需要自己来创建根证书,而是应该
    # 把后面生成的服务器 csr 文件内容贴入一个web表格,支付签署费用并
    # 等待签署的证书。关于商业性CA的更多信息请参见:
    # Verisign - http://digitalid.verisign.com/server/apacheNotice.htm
    # Thawte Consulting - http://www.thawte.com/certs/server/request.html
    # CertiSign Certificadora Digital Ltda. - http://www.certisign.com.br
    # IKS GmbH - http://www.iks-jena.de/produkte/ca /
    # Uptime Commerce Ltd. - http://www.uptimecommerce.com
    # BelSign NV/SA - http://www.belsign.be
    # 生成CA根证书私钥
    openssl genrsa -des3 -out ca.key 1024

    # 生成CA根证书
    # 根据提示填写各个字段, 但注意 Common Name 最好是有效根域名(如 zeali.net ),
    # 并且不能和后来服务器证书签署请求文件中填写的 Common Name 完全一样,否则会
    # 导致证书生成的时候出现
    # error 18 at 0 depth lookup:self signed certificate 错误
    openssl req -new -x509 -days 365 -key ca.key -out ca.crt
    echo "CA根证书创建完毕。"

    echo "开始生成服务器证书签署文件及私钥 ..."
    #
    # 生成服务器私钥
    openssl genrsa -des3 -out server.key 1024
    # 生成服务器证书签署请求文件, Common Name 最好填写使用该证书的完整域名
    # (比如: security.zeali.net )
    openssl req -new -key server.key -out server.csr 
    ls -altrh  ${sslOutputRoot}/server.*
    echo "服务器证书签署文件及私钥生成完毕。"

    echo "开始使用CA根证书签署服务器证书签署文件 ..."
    #
    # 签署服务器证书,生成server.crt文件
    # 参见 http://www.faqs.org/docs/securing/chap24sec195.html
    #  sign.sh START
    #
    #  Sign a SSL Certificate Request (CSR)
    #  Copyright (c) 1998-1999 Ralf S. Engelschall, All Rights Reserved.
    #

    CSR=server.csr

    case $CSR in
    *.csr ) CERT="`echo $CSR | sed -e 's/\.csr/.crt/'`" ;;
    * ) CERT="$CSR.crt" ;;
    esac

    #   make sure environment exists
    if [ ! -d ca.db.certs ]; then
     mkdir ca.db.certs
    fi
    if [ ! -f ca.db.serial ]; then
     echo '01' >ca.db.serial
    fi
    if [ ! -f ca.db.index ]; then
     cp /dev/null ca.db.index
    fi

    #   create an own SSLeay config
    # 如果需要修改证书的有效期限,请修改下面的 default_days 参数.
    # 当前设置为10年.
    cat >ca.config <<EOT
    [ ca ]
    default_ca = CA_own