在Ubuntu系统手撸一个自动创建SSL证书的SHELL脚本

最新推荐文章于 2024-07-27 20:52:48 发布
最新推荐文章于 2024-07-27 20:52:48 发布
阅读量791 收藏 14
点赞数 15
文章标签: ubuntu ssl linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/140366627
版权

74f98b50a607b8b3a61d8dafbc394b83.gif

正文共:1555 字 13 图,预估阅读时间:2 分钟

介于CentOS 7停服的原因CentOS 7停服之后该怎么安装软件呢?,为了方便日常使用,还是要研究一下替换成Ubuntu系统如何在Ubuntu 23.10部署KVM并创建虚拟机?,先尝试一下在Ubuntu系统中部署openVPN服务端。

对于openVPN或者SSL VPN而言,这种以加密协议为基础提供远程的安全连接服务,主要基于数字证书利用数字签名的方法对SSL服务器和SSL客户端进行身份验证VSR白送的的SSL VPN功能,你要不要?。所以,使用Ubuntu系统,我们还是要先创建证书使用Easy-RSA配置生成SSL证书

关于如何创建一份可以自动创建Easy-RSA证书的脚本,我们之前已经做了详细介绍手撸一个自动创建SSL证书的SHELL脚本。接下来,我们验证一下Easy-RSA在Ubuntu系统的使用是否存在差异,以及之前的脚本需要做何调整。

首先是软件安装,对应的命令为:

apt install -y easy-rsa

a3c1b7adddf695ee4c19a8abdf566fa6.png

如果转换成SHELL脚本,则可以是:

# 安装Easy-RSA
install_easyrsa() {
  echo "正在安装Easy-RSA..."
  apt install -y easy-rsa
  echo "Easy-RSA安装完成。"
}

然后是初始化Easy-RSA环境,在Ubuntu系统中,Easy-RSA的安装路径是/usr/share/easy-rsa/,需要依赖easyrsa文件来生成证书和密钥等文件。

43989d9d80d08e90db3a1a93c4ef4b6f.png

可以看到,机构配置范例文件vars.example也位于这个目录,复制一份。

cp /usr/share/easy-rsa/vars.example /usr/share/easy-rsa/vars

fd45921f019e13c5c0196ad61806d5ec.png

如果转换成SHELL脚本,则可以是:

# 初始化Easy-RSA环境
init_easyrsa() {
  echo "初始化Easy-RSA环境..."
  cd /usr/share/easy-rsa/
  # 复制vars.example为vars,避免覆盖
  if [ -f vars ]; then
    mv vars vars.backup
  fi
  cp vars.example vars
  echo "Easy-RSA环境初始化完成。"
}

然后我想修改机构信息中的部分字段为以下信息。

set_var EASYRSA_REQ_COUNTRY     "CN"
set_var EASYRSA_REQ_PROVINCE    "Beijing"
set_var EASYRSA_REQ_CITY        "Haidian"
set_var EASYRSA_REQ_ORG         "TIETOU_TECH"
set_var EASYRSA_REQ_EMAIL       "tietou@h3cadmin.cn"
set_var EASYRSA_REQ_OU          "Tietou_openVPN"

正常需要使用vi命令进行编辑,如果转换成SHELL脚本,则可以直接进行插入:

# 更新vars文件中的机构信息字段
update_vars() {
  echo "更新vars文件中的机构信息字段..."
  cd /usr/share/easy-rsa/
  # 向vars文件中插入机构信息字段
  echo 'set_var EASYRSA_REQ_COUNTRY     "CN"' >> vars
  echo 'set_var EASYRSA_REQ_PROVINCE    "Beijing"' >> vars
  echo 'set_var EASYRSA_REQ_CITY        "Haidian"' >> vars
  echo 'set_var EASYRSA_REQ_ORG         "TIETOU TECH"' >> vars
  echo 'set_var EASYRSA_REQ_EMAIL       "tietou@h3cadmin.cn"' >> vars
  echo 'set_var EASYRSA_REQ_OU          "Tietou openVPN"' >> vars
  echo "vars文件中的机构信息字段已更新。"
}

然后就是生成证书文件了,还是在/usr/share/easy-rsa,通过以下命令初始化PKI(Public Key Infrastructure,公钥基础设施)目录结构:

./easyrsa init-pki

87f8a6e2b4fbb424436e28c891722439.png

执行命令之后,Easy-RSA会自动根据vars文件中的变量,在PKI目录下生成一份新的openssl-easyrsa.cnf文件。

476db091cc9a9a0d19114f3e9f030fe7.png

接下来创建根证书,用于CA(Certificate Authority,证书颁发机构)对之后生成的server和client证书进行签名时使用。为了方便,我们带nopass参数生成证书,nopass表示不对CA密钥进行加密,这样在签署证书时就可以跳过密码验证。

./easyrsa build-ca nopass

644b7995840c8cb4edf17a324e28119e.png

创建服务器端证书,同时指定nopass参数表示不对私钥进行加密。

./easyrsa gen-req ttserver nopass

1f896154bbb472c369194cf945557dbb.png

给服务器端证书ttserver进行签名。

./easyrsa sign server ttserver

b3ef0a4db53b8e5a2b8868c6442b57f4.png

然后创建Diffie-Hellman文件,也就是秘钥交换时的DH算法,确保密钥可以穿越不安全网络。

./easyrsa gen-dh

e14c379d9e69902fc2a649c8def2591c.png

接下来创建客户端的证书,同时指定nopass参数表示不对私钥进行加密。

./easyrsa gen-req ttclient nopass

e4bc54a577727d511c53372f0d797da6.png

给客户端证书ttclient进行签名。

./easyrsa sign-req client ttclient

ca118fb6b725eb6ca2b4a4ccf955b031.png

至此,证书生成就结束了,涉及到的主要命令为:

./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req ttserver nopass
./easyrsa sign server ttserver
./easyrsa gen-dh
./easyrsa gen-req ttclient nopass
./easyrsa sign-req client ttclient

如果转换成SHELL脚本,则可以是:

# 生成证书和密钥
generate_certs() {
  echo "正在生成证书和密钥..."
  cd /usr/share/easy-rsa/
  # 初始化PKI目录结构
  ./easyrsa init-pki
  # 清空证书目录
  echo "yes" | ./easyrsa clean-all
  # 生成证书和密钥文件
  echo | ./easyrsa build-ca nopass
  echo | ./easyrsa gen-req ttserver nopass
  echo "yes" | ./easyrsa sign server ttserver
  ./easyrsa gen-dh
  echo | ./easyrsa gen-req ttclient nopass
  echo "yes" | ./easyrsa sign-req client ttclient
  echo "证书和密钥生成完成。"
}

为了方便管理,我们在/目录下创建一个SSL-cert文件夹,然后根据当前时间创建一个新目录,形如202308022132,同时将生成的证书和密钥文件复制到此目录下。如果写成SHELL脚本,则可以是:

# 创建SSL-cert目录
generate_dir() {
  # 获取当前时间
  current_time=$(date +"%Y%m%d%H%M")
  # 创建新的目录
  new_dir="/SSL-cert/${current_time}"
  mkdir -p "${new_dir}"
  # 将证书和密钥复制到新目录下
  cp /usr/share/easy-rsa/pki/ca.crt "${new_dir}/ca.crt"
  cp /usr/share/easy-rsa/pki/issued/ttserver.crt "${new_dir}/ttserver.crt"
  cp /usr/share/easy-rsa/pki/private/ttserver.key "${new_dir}/ttserver.key"
  cp /usr/share/easy-rsa/pki/issued/ttclient.crt "${new_dir}/ttclient.crt"
  cp /usr/share/easy-rsa/pki/private/ttclient.key "${new_dir}/ttclient.key"
  echo "证书和密钥已复制到目录:${new_dir}"
}

最后,我们再加一个主函数。

# 主函数
main() {
  install_easyrsa
  init_easyrsa
  update_vars
  generate_certs
  generate_dir
}

然后将这些片段攒成一个文件autosslcert.sh,如下所示:

#!/bin/bash
# 安装Easy-RSA
install_easyrsa() {
  echo "正在安装Easy-RSA..."
  apt install -y easy-rsa
  echo "Easy-RSA安装完成。"
}
# 初始化Easy-RSA环境
init_easyrsa() {
  echo "初始化Easy-RSA环境..."
  cd /usr/share/easy-rsa/
  # 备份vars.example为vars,避免覆盖
  if [ -f vars ]; then
    mv vars vars.backup
  fi
  cp vars.example vars
  echo "Easy-RSA环境初始化完成。"
}
# 更新vars文件中的机构信息字段
update_vars() {
  echo "更新vars文件中的机构信息字段..."
  cd /usr/share/easy-rsa/
  # 向vars文件中插入机构信息字段
  echo 'set_var EASYRSA_REQ_COUNTRY     "CN"' >> vars
  echo 'set_var EASYRSA_REQ_PROVINCE    "Beijing"' >> vars
  echo 'set_var EASYRSA_REQ_CITY        "Haidian"' >> vars
  echo 'set_var EASYRSA_REQ_ORG         "TIETOU_TECH"' >> vars
  echo 'set_var EASYRSA_REQ_EMAIL       "tietou@h3cadmin.cn"' >> vars
  echo 'set_var EASYRSA_REQ_OU          "Tietou_openVPN"' >> vars
  echo "vars文件中的机构信息字段已更新。"
}
# 生成证书和密钥
generate_certs() {
  echo "正在生成证书和密钥..."
  cd /usr/share/easy-rsa/
  # 初始化PKI目录结构
  ./easyrsa init-pki
  # 清空证书目录
  echo "yes" | ./easyrsa clean-all
  # 生成证书和密钥文件
  echo | ./easyrsa build-ca nopass
  echo | ./easyrsa gen-req ttserver nopass
  echo "yes" | ./easyrsa sign server ttserver
  ./easyrsa gen-dh
  echo | ./easyrsa gen-req ttclient nopass
  echo "yes" | ./easyrsa sign-req client ttclient
  echo "证书和密钥生成完成。"
}
# 创建SSL-cert目录
generate_dir() {
  # 获取当前时间
  current_time=$(date +"%Y%m%d%H%M")
  # 创建新的目录
  new_dir="/SSL-cert/${current_time}"
  mkdir -p "${new_dir}"
  # 将证书和密钥复制到新目录下
  cp /usr/share/easy-rsa/pki/ca.crt "${new_dir}/ca.crt"
  cp /usr/share/easy-rsa/pki/issued/ttserver.crt "${new_dir}/ttserver.crt"
  cp /usr/share/easy-rsa/pki/private/ttserver.key "${new_dir}/ttserver.key"
  cp /usr/share/easy-rsa/pki/issued/ttclient.crt "${new_dir}/ttclient.crt"
  cp /usr/share/easy-rsa/pki/private/ttclient.key "${new_dir}/ttclient.key"
  echo "证书和密钥已复制到目录:${new_dir}"
}
# 主函数
main() {
  install_easyrsa
  init_easyrsa
  update_vars
  generate_certs
  generate_dir
}
main;
exit;

并为此文件赋予可执行权限。

d3a05020a6a64dfeed47259ea0090244.png

找台干净的主机跑一下试试。

188e3fbb191905ed6765233dd96aecad.png

Nice,成功了!

d6b956f18ea12ec345d2114058c4bc17.gif

长按二维码
关注我们吧

b217eb2153135deeeb4b996215c85639.jpeg

029ed71fd3e6851cb7303b6d73f9cef2.png

手撸一个自动搭建openVPN服务器的SHELL脚本

配置优化:将openVPN的配置文件合4为1

通过Nginx做一个openVPN配置文件下载页面

巧用openVPN实现访问云资源池业务

OpenWrt部署配置openVPN服务器

OpenWrt配置openVPN客户端

openVPN配置实现客户端互访

openVPN+SmartDNS=openDNS or smartVPN?

openVPN + VPP = openVPP

OpenWrt配置单臂路由模式

如何通过iptables配置URL过滤黑名单?

如何通过iptables配置URL过滤白名单?

将iStoreOS部署到VMware Workstation

将iStoreOS部署到VMware ESXi变成路由器

strongSwan之ipsec命令手册

CentOS 7停服之后该怎么安装软件呢?

Danileaf_Guo
关注
Ubuntu零基础教学-SpringBoot项目如何生成SSL证书并配置HTTPS协议 | 超级详细,建议收藏
**My Coding Family**
04-01 351
SpringBoot项目如何生成SSL证书并配置HTTPS协议,快进来,我教你...
nginx-ssl:在 Ubuntu 14.04 机器上使用自签名 SSL 证书配置 NGINX 的简单脚本
06-29
NGINX-SSLUbuntu 14.04 机器上使用自签名 SSL 证书配置 NGINX 的简单脚本。 Basic usage: sudo bash bootstrap.sh Command line switches are optional. The following switches are recognized. -d --Sets whether SSLMate is used. Default is off. -p [PORT] --Sets the value for port used for the application. Default is 5000. -s [SERVER] --Sets the value for the server name. Default is the IP address. -h --Displa
如何在 Ubuntu 20.04 上使用 mkcert 创建本地受信任的 SSL 证书 mkcert
writeeee的专栏
07-23 158
如何在 Ubuntu 20.04 上使用 mkcert 创建本地受信任的 SSL 证书Mkcert 是一个免费、简单且非常有用的工具,它允许您创建本地受信任的证书,而无需从真正的 CA 购买。开发人员通常在本地系统上工作,总是不可能在本地主机上使用来自 CA 的可信证书。Mkcert 允许您轻松管理自己的证书。在本文中,我们将向您展示如何在 Ubuntu 20.04 上使用 Mkcert 为本地开发创建受信任的 SSL 证书
Ubuntu系统一个自动搭建openVPN服务端的SHELL脚本
最新发布
衡水铁头哥的博客
07-27 482
正文共:1666 字 4 图,预估阅读时间:2 分钟关于在Ubuntu系统如何创建一份可以自动配置Easy-RSA证书脚本,我们之前已经做了详细介绍(在Ubuntu系统一个自动创建SSL证书SHELL脚本)。其实,证书创建完成之后,openVPN的配置就完成了一大半了。而且,我们前面也介绍了在Ubuntu系统如何创建openVPN服务端并发起客户端连接(Ubuntu配置openVPN服...
ubuntu创建 ssl 证书
weixin_30444105的博客
08-07 835
soap webservice 调试工具: soap UI, 可以下载下来玩一玩。 Introduction TLS, or transport layer security, and its predecessorSSL, which stands for secure sockets layer, are web protocols used to wrap normal tra...
Ubuntu配置SSL证书[LAMP](证书部署篇)
balabalado的博客
08-15 843
环境:Ubuntu系统apt-get在线安装Apache申请的SSL证书相关文件已上传至服务器Apache默认路径:默认网页目录:默认配置文件目录:服务启动位置:进入到下,可以看到sites-available和sites-enabled两个目录,这是我们之后要用到的目录,在sites-enabled中,有一个000-default.conf文件,并且可以看到是一个sites-available下的软链接文件,这是安装apache时默认启用的设置,用来让我们使用http服务,接下来我们要用到的是sites-
Ubuntu本地生成SSL测试证书
weixin_38825661的博客
11-09 333
ubuntu生成域名SSL证书
Ubuntu 申请 SSL证书并搭建邮件服务器
weixin_53312629的博客
01-25 1498
本文记录了如何在一台 Ubuntu 服务器上搭建邮件服务器,主要是安装和配置 Postfix 和 Dovecot,以及 SpamAssassin 和 OpenDKIM 的安装和配置。同时也介绍了如何申请 SSL 证书以及其他服务的相关配置
【OpenSSLUbuntu下自签SSL证书
weixin_44558408的博客
07-04 1407
OpenSSL自签证书方法
vhost-creator:一个简单的bash脚本,可在Ubuntu或CentOS上使用apache创建虚拟主机vhost
02-06
**vhost-creator** 是一个基于Bash shell脚本的工具,专为简化在Ubuntu和CentOS操作系统上配置Apache HTTP服务器的虚拟主机(vhost)过程而设计。它旨在为系统管理员提供一种快速、高效的方式来设置多个网站或者应用...
Shell脚本快速搭建Ubuntu下的Nodejs开发环境
09-15
通过上述Shell脚本,你可以在Ubuntu系统上快速搭建一个功能完备的Node.js开发环境。这种方式不仅提高了效率,还简化了复杂的安装过程。希望这篇指南能帮助你在实际开发中更好地利用Node.js及其相关工具。
Ubuntu_系统_SSL配置
05-22
Ubuntu_系统_SSL配置;
自动化部署Nginx Shell脚本
01-04
本主题聚焦于使用Shell脚本自动化部署Nginx,一个广泛应用的高性能Web服务器和反向代理。Nginx以其高并发处理能力、低内存消耗和出色的稳定性著称。 首先,了解Nginx的基本概念至关重要。Nginx采用事件驱动的异步...
UbuntuLinux Mint一键安装Chrome浏览器的Shell脚本分享
09-15
通过上述Shell脚本UbuntuLinux Mint用户可以轻松地在自己的系统上安装Google Chrome浏览器的不同版本。这种自动脚本不仅可以节省时间,还可以减少人为错误的风险。对于那些需要频繁进行软件部署的用户而言,这...
ubantu服务器配置ssl证书
初级驾照的博客
08-20 2186
服务器改为https访问,需要上传ssl证书证书链到服务器证书格式为crt 证书格式转换 选择其中一种转换。SSL证书格式转换工具 openssl x509 -inform DER -in CACert.cer -out CACert.crt openssl x509 -inform PEM -in CACert.cer -out CACert.crt openssl x509 -in cert.crt -outform der-out cert.der openssl x509 -in cert.cr
如何在 Ubuntu 14.04 上为 Apache 创建 SSL 证书
rubys007的博客
05-11 845
TLS,即传输层安全协议,及其前身SSL,安全套接字层,是为了将正常流量放置在受保护的加密包装中而创建的安全协议。这些协议允许远程方安全地发送流量,而不会被中间人拦截和阅读。它们还通过由证书颁发机构建立服务器的受信任和真实性,对互联网上的域和服务器的身份进行验证,起着重要作用。在本指南中,我们将介绍如何在 Ubuntu 14.04 服务器上为 Apache 创建自签名 SSL 证书,这将允许您加密到服务器的流量。虽然这不提供服务器身份的第三方验证的好处,但它满足了那些只想安全传输信息的要求。
如何在 Ubuntu 14.04 上为 Nginx 创建 SSL 证书
rubys007的博客
05-13 1805
TLS,即传输层安全性,及其前身SSL,即安全套接字层,是用于将普通流量包装在受保护的加密包装中的网络协议。使用这项技术,服务器可以在服务器和客户端之间安全地发送流量,而不必担心消息会被外部方拦截和阅读。证书系统还帮助用户验证他们正在连接的站点的身份。在本指南中,我们将向您展示如何为 Ubuntu 14.04 服务器上的 Nginx Web 服务器设置自签名 SSL 证书。自签名证书将不会为您的用户验证服务器的身份,因为它没有由其 Web 浏览器信任的证书颁发机构签名,但它将。
ubuntu 14.04 Let‘s Encrypt永久免费SSL证书安装教程
tianjiewang的专栏
03-20 3043
一、Let’s Encrypt简介 如果要启用HTTPS,我们就需要从证书授权机构(以下简称CA) 处获取一个证书,Let’s Encrypt 就是一个 CA。 Let’s Encrypt 最初是由EEF 电子前哨基金会、 Mozilla 基金会和美国密歇根大学成立了一个公益组织叫 ISRG ( Internet Security Research Group ),为了加速https推广,在2...
ubuntu java ssl_ubuntu 生成https证书 for let's encrypt
weixin_35308269的博客
02-27 113
server {listen443ssl http2;# listen [::]:443ssl http2;server_name www.gabin.top;location/{root/usr/share/nginx/html;index index.html index.htm;}#error_page404 /404.html;# redirect server...
作为一个linux领域的专家请帮我编写一个shell脚本:编译安装mysql
04-16
Sure,以下是编译安装MySQL的Shell脚本(适用于Ubuntu): ``` #!/bin/bash # 安装必要的包 sudo apt update sudo apt install build-essential sudo apt install cmake sudo apt install zlib1g-dev # 下载并解压MySQL源码包 wget https://dev.mysql.com/get/Downloads/MySQL-8.0/mysql-8.0.23.tar.gz tar -zxvf mysql-8.0.23.tar.gz # 进入MySQL源码包目录,编译安装 cd mysql-8.0.23 cmake . -DCMAKE_INSTALL_PREFIX=/usr/local/mysql make -j$(grep processor /proc/cpuinfo | wc -l) sudo make install # 配置MySQL sudo groupadd mysql sudo useradd -r -g mysql -s /bin/false mysql sudo mkdir -p /usr/local/mysql/data sudo chown -R mysql:mysql /usr/local/mysql # 初始化MySQL并设置密码 sudo /usr/local/mysql/bin/mysqld --initialize --user=mysql --datadir=/usr/local/mysql/data sudo /usr/local/mysql/bin/mysql_ssl_rsa_setup sudo chown -R root:root /usr/local/mysql sudo chmod -R 755 /usr/local/mysql sudo bash -c 'echo PATH=/usr/local/mysql/bin:$PATH >> /etc/environment' echo 'export PATH=$PATH:/usr/local/mysql/bin' >> ~/.bashrc source ~/.bashrc # 启动MySQL sudo systemctl start mysql ``` 希望对您有帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值