重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
这篇文章主要介绍了Shell脚本实现生成SSL自签署证书,本文直接给出实现代码,代码中包含大量注释,需要的朋友可以参考下
成都创新互联公司专业为企业提供桃江网站建设、桃江做网站、桃江网站设计、桃江网站制作等企业网站建设、网页设计与制作、桃江企业网站模板建站服务,十多年桃江做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。启用 apache 的 mod_ssl 之后需要有证书才能正常运作。写了个脚本来操作。首先要确定机器上已经有 openssl 。
复制代码 代码如下:
#!/bin/sh
ssl 证书输出的根目录。
sslOutputRoot="/etc/apache_ssl"
if [ $# -eq 1 ]; then
sslOutputRoot=$1
fi
if [ ! -d ${sslOutputRoot} ]; then婴儿起名/tupian/20230522/
mkdir -p ${sslOutputRoot}
fi
cd ${sslOutputRoot}
echo “开始创建CA根证书…”
创建CA根证书,稍后用来签署用于服务器的证书。如果是通过商业性CA如
Verisign 或 Thawte 签署证书,则不需要自己来创建根证书,而是应该
把后面生成的服务器 csr 文件内容贴入一个web表格,支付签署费用并
等待签署的证书。关于商业性CA的更多信息请参见:
Verisign - http://digitalid.verisign.com/server/apacheNotice.htm
Thawte Consulting - http://www.thawte.com/certs/server/request.html
CertiSign Certificadora Digital Ltda. - /tupian/20230522/loja.certisign.com.br
IKS GmbH - http://www.iks-jena.de/produkte/ca /
Uptime Commerce Ltd. - /tupian/20230522/www.uptimecommerce.com
BelSign NV/SA - /tupian/20230522/
生成CA根证书私钥
openssl genrsa -des3 -out ca.key 1024
生成CA根证书
根据提示填写各个字段, 但注意 Common Name 最好是有效根域名(如 zeali.net ),
并且不能和后来服务器证书签署请求文件中填写的 Common Name 完全一样,否则会
导致证书生成的时候出现
error 18 at 0 depth lookup:self signed certificate 错误
openssl req -new -x509 -days 365 -key ca.key -out ca.crt
echo “CA根证书创建完毕。”
echo “开始生成服务器证书签署文件及私钥 …”
生成服务器私钥
openssl genrsa -des3 -out server.key 1024
生成服务器证书签署请求文件, Common Name 最好填写使用该证书的完整域名
(比如: security.zeali.net )
openssl req -new -key server.key -out server.csr
ls -altrh ${sslOutputRoot}/server.*
echo “服务器证书签署文件及私钥生成完毕。”
echo “开始使用CA根证书签署服务器证书签署文件 …”
签署服务器证书,生成server.crt文件
参见 /tupian/20230522/chap24sec195.html
sign.sh START
Sign a SSL Certificate Request (CSR)
Copyright © 1998-1999 Ralf S. Engelschall, All Rights Reserved.
CSR=server.csr
case $CSR in
*.csr ) CERT="echo $CSR | sed -e 's/\.csr/.crt/'" ;;
) CERT="$CSR.crt" ;;
esac
make sure environment exists
if [ ! -d ca.db.certs ]; then
mkdir ca.db.certs
fi
if [ ! -f ca.db.serial ]; then
echo ‘01’ >ca.db.serial
fi
if [ ! -f ca.db.index ]; then
cp /dev/null ca.db.index
fi
create an own SSLeay config
如果需要修改证书的有效期限,请修改下面的 default_days 参数.
当前设置为10年.
cat >ca.config < [ ca ] default_ca = CA_own
当前名称:Shell脚本实现生成SSL自签署证书-创新互联
文章源于:http://cqcxhl.cn/article/dshjig.html