SSL自签署证书生成脚本

最新推荐文章于 2024-05-14 09:39:23 发布
最新推荐文章于 2024-05-14 09:39:23 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 加解密 Java
view plain print ?
  1. #!/bin/sh  
  2. #  
  3.   
  4. # ssl 证书输出的根目录。  
  5. sslOutputRoot="/etc/apache_ssl"  
  6. if [ $# -eq 1 ]; then  
  7.     sslOutputRoot=$1  
  8. fi  
  9. if [ ! -d ${sslOutputRoot} ]; then  
  10.     mkdir -p ${sslOutputRoot}  
  11. fi  
  12.   
  13. cd ${sslOutputRoot}  
  14.   
  15. echo "开始创建CA根证书..."  
  16. #  
  17. # 创建CA根证书,稍后用来签署用于服务器的证书。如果是通过商业性CA如  
  18. # Verisign 或 Thawte 签署证书,则不需要自己来创建根证书,而是应该  
  19. # 把后面生成的服务器 csr 文件内容贴入一个web表格,支付签署费用并  
  20. # 等待签署的证书。关于商业性CA的更多信息请参见:   
  21. # Verisign - http://digitalid.verisign.com/server/apacheNotice.htm   
  22. # Thawte Consulting - http://www.thawte.com/certs/server/request.html   
  23. # CertiSign Certificadora Digital Ltda. - http://www.certisign.com.br   
  24. # IKS GmbH - http://www.iks-jena.de/produkte/ca /   
  25. # Uptime Commerce Ltd. - http://www.uptimecommerce.com   
  26. # BelSign NV/SA - http://www.belsign.be   
  27. # 生成CA根证书私钥  
  28. openssl genrsa -des3 -out ca.key 1024   
  29.   
  30. # 生成CA根证书  
  31. # 根据提示填写各个字段, 但注意 Common Name 最好是有效根域名(如 zeali.net ),  
  32. # 并且不能和后来服务器证书签署请求文件中填写的 Common Name 完全一样,否则会  
  33. # 导致证书生成的时候出现   
  34. # error 18 at 0 depth lookup:self signed certificate 错误  
  35. openssl req -new -x509 -days 365 -key ca.key -out ca.crt   
  36. echo "CA根证书创建完毕。"  
  37.   
  38. echo "开始生成服务器证书签署文件及私钥 ..."  
  39. #  
  40. # 生成服务器私钥  
  41. openssl genrsa -des3 -out server.key 1024   
  42. # 生成服务器证书签署请求文件, Common Name 最好填写使用该证书的完整域名  
  43. # (比如: security.zeali.net )  
  44. openssl req -new -key server.key -out server.csr    
  45. ls -altrh  ${sslOutputRoot}/server.*  
  46. echo "服务器证书签署文件及私钥生成完毕。"  
  47.   
  48. echo "开始使用CA根证书签署服务器证书签署文件 ..."  
  49. #  
  50. # 签署服务器证书,生成server.crt文件  
  51. # 参见 http://www.faqs.org/docs/securing/chap24sec195.html  
  52. #  sign.sh START  
  53. #  
  54. #  Sign a SSL Certificate Request (CSR)  
  55. #  Copyright (c) 1998-1999 Ralf S. Engelschall, All Rights Reserved.   
  56. #  
  57.   
  58. CSR=server.csr  
  59.   
  60. case $CSR in  
  61. *.csr ) CERT="`echo $CSR | sed -e 's/\.csr/.crt/'`" ;;  
  62. * ) CERT="$CSR.crt" ;;  
  63. esac  
  64.   
  65. #   make sure environment exists  
  66. if [ ! -d ca.db.certs ]; then  
  67.     mkdir ca.db.certs  
  68. fi  
  69. if [ ! -f ca.db.serial ]; then  
  70.     echo '01' >ca.db.serial  
  71. fi  
  72. if [ ! -f ca.db.index ]; then  
  73.     cp /dev/null ca.db.index  
  74. fi  
  75.   
  76. #   create an own SSLeay config  
  77. # 如果需要修改证书的有效期限,请修改下面的 default_days 参数.  
  78. # 当前设置为10年.  
  79. cat >ca.config <<EOT  
  80. [ ca ]  
  81. default_ca  = CA_own  
  82. [ CA_own ]  
  83. dir = .  
  84. certs   = ./certs  
  85. new_certs_dir   = ./ca.db.certs  
  86. database    = ./ca.db.index  
  87. serial  = ./ca.db.serial  
  88. RANDFILE    = ./ca.db.rand  
  89. certificate = ./ca.crt  
  90. private_key = ./ca.key  
  91. default_days    = 3650  
  92. default_crl_days    = 30  
  93. default_md  = md5  
  94. preserve    = no  
  95. policy  = policy_anything  
  96. [ policy_anything ]  
  97. countryName = optional  
  98. stateOrProvinceName = optional  
  99. localityName    = optional  
  100. organizationName    = optional  
  101. organizationalUnitName  = optional  
  102. commonName  = supplied  
  103. emailAddress    = optional  
  104. EOT  
  105.   
  106. #  sign the certificate  
  107. echo "CA signing: $CSR -> $CERT:"  
  108. openssl ca -config ca.config -out $CERT -infiles $CSR  
  109. echo "CA verifying: $CERT <-> CA cert"  
  110. openssl verify -CAfile ./certs/ca.crt $CERT  
  111.   
  112. #  cleanup after SSLeay   
  113. rm -f ca.config  
  114. rm -f ca.db.serial.old  
  115. rm -f ca.db.index.old  
  116. #  sign.sh END  
  117. echo "使用CA根证书签署服务器证书签署文件完毕。"  
  118.   
  119.   
  120. # 使用了 ssl 之后,每次启动 apache 都要求输入 server.key 的口令,  
  121. # 你可以通过下面的方法去掉口令输入(如果不希望去掉请注释以下几行代码):  
  122. echo "去除 apache 启动时必须手工输入密钥密码的限制:"  
  123. cp -f server.key server.key.org  
  124. openssl rsa -in server.key.org -out server.key  
  125. echo "去除完毕。"  
  126.   
  127.   
  128. # 修改 server.key 的权限,保证密钥安全  
  129. chmod 400 server.key  
  130.   
  131. echo "Now u can configure apache ssl with following:"  
  132. echo -e "\tSSLCertificateFile ${sslOutputRoot}/server.crt"  
  133. echo -e "\tSSLCertificateKeyFile ${sslOutputRoot}/server.key"  
  134.   
  135. #  die gracefully  
  136. exit 0  
weiling_shen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
flask https配置
robin912的专栏
06-14 6718
flask添加https支持 先上代码 from flask import Flask from flask_restful import Resource, Api app = Flask(__name__) api = Api(app) class HelloWorld(Resource): def get(self): return {'hello': '...
Python SSL操作手册
一个的博客
06-27 6055
此模块提供对 Client 端和服务器端网络套接字的传输层安全性(通常称为“安全套接字层”)加密和对等身份验证Function的访问。该模块使用 OpenSSL 库。只要在该平台上安装了 OpenSSL,它就可以在所有现代 Unix 系统,Windows,Mac OS X 以及可能的其他平台上使用。由于对 os 套接字 API 进行了调用,因此某些行为可能取决于平台。安装的 OpenSSL 版本也可能导致行为变化。例如,TLSv1.1 和 TLSv1.2 随附 openssl 版本 1.0.1.请勿在未阅读
python tcp socket中实现SSL/TLS认证
海哥python的博客
01-11 2068
官话说SSL是安全套接层(secure sockets layer),TLS是SSL的继任者,叫传输层安全(transport layer security)。说白点,就是在明文的上层和TCP层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP协议是明文传输,加上SSL层之后,就有了雅称HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。
推荐开源项目:一键生成本地开发自签名SSL证书
最新发布
gitblog_00025的博客
05-14 241
推荐开源项目:一键生成本地开发自签名SSL证书 项目地址:https://gitcode.com/kingkool68/generate-ssl-certs-for-local-development 在进行本地HTTPS站点开发时,你是否曾因缺少SSL证书而苦恼?不用担心,这个名为"Generate Self-Signed SSL Certificates for Local Deve...
python acme_python小工具: TLS 证书加密,Acme-Tiny
weixin_33256096的博客
01-28 337
前言安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。较低的层为 TLS 记录协议,位于某个可靠的传输协议(例如 TCP)上面,与具体的应用无关,所以,一般把TLS协议归为传输层安全协议。Acme-Tiny 是采用Python编写的,一款轻量级的TLS 证书加密工...
Python SSL
12-22
Python SSL
Shell脚本实现生成SSL签署证书
09-15
总之,Shell脚本生成SSL签署证书的过程涉及到创建根证书生成服务器私钥和CSR,以及使用根证书签署服务器CSR。这种方法适用于临时测试或内部网络,但对于对外公开的网站,建议使用正规的商业CA签署证书
linux系统openssl 实现ssl自签证书
12-02
`create_ssl.sh`脚本通常包含一系列openssl命令,用于创建私钥(ca.key)和公钥(ca.crt)对,这构成了CA根证书。执行`sh -x create_ssl.sh 0`会生成这些文件,存放在 `/etc/nginx/conf.d` 目录下。 接下来,使用这...
一键脚本自动生产tomcat之pfx格式证书
10-28
在Tomcat中配置SSL/TLS时,通常需要一个由权威证书颁发机构(CA)签署证书,或者在测试环境中使用自签名证书。PFX证书的引入简化了这一过程,因为它将私钥和证书打包在一起,使得导入到Tomcat服务器变得更加便捷。...
sh代码-自动生成openssl证书
07-14
1. **生成私钥**:首先,我们需要一个私钥来签署我们的证书。这可以通过`openssl genpkey`命令完成,常用参数是`-algorithm`来指定算法,如RSA。例如: ``` openssl genpkey -algorithm RSA -out server.key ``` ...
ssl python
01-21
SSL——安全套接字层(Secure Sockers Layer)协议由著名的Netscape公司开发。为了保证通信双方建立安全可靠的传输隧道,SSL使用PKI中的数字证书技术对通信双方进行身份认证;使用对称加密来保证数据保密性;使用消息认证码(MAC)来保证数据完整性
python37ssl.zip
10-27
python3.7 cpython centos7 ssl 和 sqlite动态链接库
pgAdmin4的应用(一)
热门推荐
殇莫忆的博客
05-09 9万+
一、安装可供参考:https://blog.csdn.net/qq_28289405/article/details/80240969二、转化为中文可供参考:https://blog.csdn.net/qq_28289405/article/details/80242956三、应用1、创建数据库...
SSL双向认证原理以及期间证书的使用
刘春明的博客
09-15 1万+
原理 要想弄明白SSL认证原理,首先要对CA有有所了解,它在SSL认证过程中有非常重要的作用。说白了,CA就是一个组织,专门为网络服务器颁发证书的,国际知名的CA机构有VeriSign、Symantec,国内的有GlobalSign。每一家CA都有自己的根证书,用来对它所签发过的服务器端证书进行验证。 如果服务器提供方想为自己的服务器申请证书,它就需要向CA机构提出申请。服务器提供方向CA提供
自签名证书生成过程
u011646872的专栏
12-14 1万+
一 数字证书(Certificate) 在HTTPS的传输过程中,有一个非常关键的角色——数字证书,所谓数字证书,是一种用于电脑的身份识别机制。由数字证书颁发机构(CA)对使用私钥创建的签名请求文件做的签名(盖章),表示CA结构对证书持有者的认可。数字证书拥有以下几个优点: 使用数字证书能够提高用户的可信度 数字证书中的公钥,能够与服务端的私钥配对使用,实现数据传输过程中的加密和解密 在证...
自签名SSL证书生成
sduliulun的专栏
12-21 2783
“接口调通了” “业务逻辑完成了”。 但是你的数据是不是在裸奔呢。 虽然互联网上大部分的数据都是在裸奔。但是想想自己家的数据在互联网上裸奔 是不是很别扭。 要想不让数据裸奔有几个基本的要求:要改用https请求,要进行数据加密  要进行ssl身份验证。 简单说一下sslSSL 证书遵守 SSL协议,通过在客户端浏览器和Web服务器之间建立一条SSL安全通道  一个有效、可信的 SSL ...
生成自签名SSL证书
shile的专栏
11-03 4963
下面介绍如何生成自签名SSL证书。前提是系统已经安装好openssl。 [root@mail ~]# cd /etc/pki/tls/certs# 生成私钥 [root@mail certs]# make server.key umask 77 ; \ /usr/bin/openssl genrsa -aes128 2048 > server.key
在Windows里生成SSL证书和使用python进行通讯
大坡3D软件开发
09-17 3156
Python游戏开发入门http://edu.csdn.net/course/detail/5690你也能动手修改C编译器http://edu.csdn.net/course/detail/5582第一步到下面网站下载:PenSSL下载地址:https://www.openssl.org/source/编译好的OpenSSL下载地址: http://slproweb.com/products/Wi
windows生成ssl自签名证书
05-26
在 Windows 上生成自签名 SSL 证书可以使用以下步骤: 1. 打开 PowerShell 窗口并输入以下命令来安装 OpenSSL: ``` Invoke-WebRequest -Uri https://www.openssl.org/source/latest/openssl-1.1.1k.tar.gz -OutFile openssl.tar.gz Expand-Archive .\openssl.tar.gz -DestinationPath openssl ``` 2. 进入 OpenSSL 目录并创建一个新的私钥和自签名证书: ``` cd openssl\openssl-1.1.1k .\openssl.exe req -x509 -days 365 -newkey rsa:2048 -keyout mykey.key -out mycert.crt ``` 按照提示输入有关证书的信息。 3. 将生成的私钥和证书复制到需要使用它的计算机上。 现在可以使用这个自签名证书来配置 Web 服务器或其他应用程序,以便启用 SSL/TLS 加密连接。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值