OpenEdv-开源电子网

 找回密码
 立即注册
正点原子全套STM32/Linux/FPGA开发资料,上千讲STM32视频教程免费下载...
查看: 2491|回复: 0

Shell脚本实现生成SSL自签署证书

[复制链接]

159

主题

160

帖子

0

精华

高级会员

Rank: 4

积分
537
金钱
537
注册时间
2019-4-28
在线时间
12 小时
发表于 2019-5-8 15:55:51 | 显示全部楼层 |阅读模式

这篇文章主要介绍了Shell脚本实现生成SSL自签署证书,本文直接给出实现代码,代码中包含大量注释,需要的朋友可以参考下
启用 apache 的 mod_ssl 之后需要有证书才能正常运作。写了个脚本来操作。首先要确定机器上已经有 openssl 。
复制代码 代码如下:
#!/bin/sh

ssl 证书输出的根目录。

sslOutputRoot="/etc/apache_ssl"
if [ $# -eq 1 ]; then
sslOutputRoot=$1
fi
if [ ! -d ${sslOutputRoot} ]; then公司起名

mkdir -p ${sslOutputRoot}
fi

cd ${sslOutputRoot}

echo “开始创建CA根证书…”

创建CA根证书,稍后用来签署用于服务器的证书。如果是通过商业性CA如Verisign 或 Thawte 签署证书,则不需要自己来创建根证书,而是应该把后面生成的服务器 csr 文件内容贴入一个web表格,支付签署费用并等待签署的证书。关于商业性CA的更多信息请参见:Verisign - http://digitalid.verisign.com/server/apacheNotice.htmThawte Consulting - http://www.thawte.com/certs/server/request.htmlCertiSign Certificadora Digital Ltda. - http://www.certisign.com.brIKS GmbH - http://www.iks-jena.de/produkte/ca /Uptime Commerce Ltd. - http://www.uptimecommerce.comBelSign NV/SA - http://www.belsign.be生成CA根证书私钥

openssl genrsa -des3 -out ca.key 1024

生成CA根证书根据提示填写各个字段, 但注意 Common Name 最好是有效根域名(如 zeali.net ),并且不能和后来服务器证书签署请求文件中填写的 Common Name 完全一样,否则会导致证书生成的时候出现error 18 at 0 depth lookup:self signed certificate 错误

openssl req -new -x509 -days 365 -key ca.key -out ca.crt
echo “CA根证书创建完毕。”

echo “开始生成服务器证书签署文件及私钥 …”

生成服务器私钥

openssl genrsa -des3 -out server.key 1024

生成服务器证书签署请求文件, Common Name 最好填写使用该证书的完整域名(比如: security.zeali.net )

openssl req -new -key server.key -out server.csr
ls -altrh ${sslOutputRoot}/server.*
echo “服务器证书签署文件及私钥生成完毕。”

echo “开始使用CA根证书签署服务器证书签署文件 …”

签署服务器证书,生成server.crt文件参见 http://www.faqs.org/docs/securing/chap24sec195.htmlsign.sh STARTSign a SSL Certificate Request (CSR)Copyright © 1998-1999 Ralf S. Engelschall, All Rights Reserved.

CSR=server.csr

case $CSR in
*.csr ) CERT="echo $CSR | sed -e 's/\.csr/.crt/'" ;;

  • ) CERT="$CSR.crt" ;;
    esac
make sure environment exists

if [ ! -d ca.db.certs ]; then
mkdir ca.db.certs
fi
if [ ! -f ca.db.serial ]; then
echo ‘01’ >ca.db.serial
fi
if [ ! -f ca.db.index ]; then
cp /dev/null ca.db.index
fi

create an own SSLeay config如果需要修改证书的有效期限,请修改下面的 default_days 参数.当前设置为10年.

cat >ca.config <<EOT
[ ca ]
default_ca = CA_own


http://www.iis7.com/b/yqlj/
正点原子逻辑分析仪DL16劲爆上市
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则



关闭

原子哥极力推荐上一条 /2 下一条

正点原子公众号

QQ|手机版|OpenEdv-开源电子网 ( 粤ICP备12000418号-1 )

GMT+8, 2024-11-25 21:56

Powered by OpenEdv-开源电子网

© 2001-2030 OpenEdv-开源电子网

快速回复 返回顶部 返回列表