| 标题 | Shell脚本实现生成SSL自签署证书 |
| 内容 | 启用 apache 的 mod_ssl 之后需要有证书才能正常运作。写了个脚本来操作。首先要确定机器上已经有 openssl 。 代码如下: #!/bin/sh # # ssl 证书输出的根目录。 sslOutputRoot="/etc/apache_ssl" if [ $# -eq 1 ]; then sslOutputRoot=$1 fi if [ ! -d ${sslOutputRoot} ]; then mkdir -p ${sslOutputRoot} fi cd ${sslOutputRoot} echo "开始创建CA根证书..." # # 创建CA根证书,稍后用来签署用于服务器的证书。如果是通过商业性CA如 # Verisign 或 Thawte 签署证书,则不需要自己来创建根证书,而是应该 # 把后面生成的服务器 csr 文件内容贴入一个web表格,支付签署费用并 # 等待签署的证书。关于商业性CA的更多信息请参见: # Verisign - # Thawte Consulting - # CertiSign Certificadora Digital Ltda. - # IKS GmbH - / # Uptime Commerce Ltd. - # BelSign NV/SA - # 生成CA根证书私钥 openssl genrsa -des3 -out ca.key 1024 # 生成CA根证书 # 根据提示填写各个字段, 但注意 Common Name 最好是有效根域名(如 zeali.net ), # 并且不能和后来服务器证书签署请求文件中填写的 Common Name 完全一样,否则会 # 导致证书生成的时候出现 # error 18 at 0 depth lookup:self signed certificate 错误 openssl req -new -x509 -days 365 -key ca.key -out ca.crt echo "CA根证书创建完毕。" echo "开始生成服务器证书签署文件及私钥 ..." # # 生成服务器私钥 openssl genrsa -des3 -out server.key 1024 # 生成服务器证书签署请求文件, Common Name 最好填写使用该证书的完整域名 # (比如: security.zeali.net ) openssl req -new -key server.key -out server.csr ls -altrh ${sslOutputRoot}/server.* echo "服务器证书签署文件及私钥生成完毕。" echo "开始使用CA根证书签署服务器证书签署文件 ..." # # 签署服务器证书,生成server.crt文件 # 参见 # sign.sh START # # Sign a SSL Certificate Request (CSR) # Copyright (c) 1998-1999 Ralf S. Engelschall, All Rights Reserved. # CSR=server.csr case $CSR in *.csr ) CERT="`echo $CSR | sed -e 's/\.csr/.crt/'`" ;; * ) CERT="$CSR.crt" ;; esac # make sure environment exists if [ ! -d ca.db.certs ]; then mkdir ca.db.certs fi if [ ! -f ca.db.serial ]; then echo '01' >ca.db.serial fi if [ ! -f ca.db.index ]; then cp /dev/null ca.db.index fi # create an own SSLeay config # 如果需要修改证书的有效期限,请修改下面的 default_days 参数. # 当前设置为10年. cat >ca.config <<EOT [ ca ] default_ca = CA_own [ CA_own ] dir = . certs = ./certs new_certs_dir = ./ca.db.certs database = ./ca.db.index serial = ./ca.db.serial RANDFILE = ./ca.db.rand certificate = ./ca.crt private_key = ./ca.key default_days = 3650 default_crl_days = 30 default_md = md5 preserve = no policy = policy_anything [ policy_anything ] countryName = optional stateOrProvinceName = optional localityName = optional organizationName = optional organizationalUnitName = optional commonName = supplied emailAddress = optional EOT # sign the certificate echo "CA signing: $CSR -> $CERT:" openssl ca -config ca.config -out $CERT -infiles $CSR echo "CA verifying: $CERT <-> CA cert" openssl verify -CAfile ./certs/ca.crt $CERT # cleanup after SSLeay rm -f ca.config rm -f ca.db.serial.old rm -f ca.db.index.old # sign.sh END echo "使用CA根证书签署服务器证书签署文件完毕。" # 使用了 ssl 之后,每次启动 apache 都要求输入 server.key 的口令, # 你可以通过下面的方法去掉口令输入(如果不希望去掉请注释以下几行代码): echo "去除 apache 启动时必须手工输入密钥密码的限制:" cp -f server.key server.key.org openssl rsa -in server.key.org -out server.key echo "去除完毕。" # 修改 server.key 的权限,保证密钥安全 chmod 400 server.key echo "Now u can configure apache ssl with following:" echo -e "\tSSLCertificateFile ${sslOutputRoot}/server.crt" echo -e "\tSSLCertificateKeyFile ${sslOutputRoot}/server.key" # die gracefully exit 0 |
| 随便看 |
|
在线学习网考试资料包含高考、自考、专升本考试、人事考试、公务员考试、大学生村官考试、特岗教师招聘考试、事业单位招聘考试、企业人才招聘、银行招聘、教师招聘、农村信用社招聘、各类资格证书考试等各类考试资料。