SSL自签署证书生成脚本

最新推荐文章于 2024-06-10 09:46:26 发布
最新推荐文章于 2024-06-10 09:46:26 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 加解密 Java
view plain print ?
  1. #!/bin/sh  
  2. #  
  3.   
  4. # ssl 证书输出的根目录。  
  5. sslOutputRoot="/etc/apache_ssl"  
  6. if [ $# -eq 1 ]; then  
  7.     sslOutputRoot=$1  
  8. fi  
  9. if [ ! -d ${sslOutputRoot} ]; then  
  10.     mkdir -p ${sslOutputRoot}  
  11. fi  
  12.   
  13. cd ${sslOutputRoot}  
  14.   
  15. echo "开始创建CA根证书..."  
  16. #  
  17. # 创建CA根证书,稍后用来签署用于服务器的证书。如果是通过商业性CA如  
  18. # Verisign 或 Thawte 签署证书,则不需要自己来创建根证书,而是应该  
  19. # 把后面生成的服务器 csr 文件内容贴入一个web表格,支付签署费用并  
  20. # 等待签署的证书。关于商业性CA的更多信息请参见:   
  21. # Verisign - http://digitalid.verisign.com/server/apacheNotice.htm   
  22. # Thawte Consulting - http://www.thawte.com/certs/server/request.html   
  23. # CertiSign Certificadora Digital Ltda. - http://www.certisign.com.br   
  24. # IKS GmbH - http://www.iks-jena.de/produkte/ca /   
  25. # Uptime Commerce Ltd. - http://www.uptimecommerce.com   
  26. # BelSign NV/SA - http://www.belsign.be   
  27. # 生成CA根证书私钥  
  28. openssl genrsa -des3 -out ca.key 1024   
  29.   
  30. # 生成CA根证书  
  31. # 根据提示填写各个字段, 但注意 Common Name 最好是有效根域名(如 zeali.net ),  
  32. # 并且不能和后来服务器证书签署请求文件中填写的 Common Name 完全一样,否则会  
  33. # 导致证书生成的时候出现   
  34. # error 18 at 0 depth lookup:self signed certificate 错误  
  35. openssl req -new -x509 -days 365 -key ca.key -out ca.crt   
  36. echo "CA根证书创建完毕。"  
  37.   
  38. echo "开始生成服务器证书签署文件及私钥 ..."  
  39. #  
  40. # 生成服务器私钥  
  41. openssl genrsa -des3 -out server.key 1024   
  42. # 生成服务器证书签署请求文件, Common Name 最好填写使用该证书的完整域名  
  43. # (比如: security.zeali.net )  
  44. openssl req -new -key server.key -out server.csr    
  45. ls -altrh  ${sslOutputRoot}/server.*  
  46. echo "服务器证书签署文件及私钥生成完毕。"  
  47.   
  48. echo "开始使用CA根证书签署服务器证书签署文件 ..."  
  49. #  
  50. # 签署服务器证书,生成server.crt文件  
  51. # 参见 http://www.faqs.org/docs/securing/chap24sec195.html  
  52. #  sign.sh START  
  53. #  
  54. #  Sign a SSL Certificate Request (CSR)  
  55. #  Copyright (c) 1998-1999 Ralf S. Engelschall, All Rights Reserved.   
  56. #  
  57.   
  58. CSR=server.csr  
  59.   
  60. case $CSR in  
  61. *.csr ) CERT="`echo $CSR | sed -e 's/\.csr/.crt/'`" ;;  
  62. * ) CERT="$CSR.crt" ;;  
  63. esac  
  64.   
  65. #   make sure environment exists  
  66. if [ ! -d ca.db.certs ]; then  
  67.     mkdir ca.db.certs  
  68. fi  
  69. if [ ! -f ca.db.serial ]; then  
  70.     echo '01' >ca.db.serial  
  71. fi  
  72. if [ ! -f ca.db.index ]; then  
  73.     cp /dev/null ca.db.index  
  74. fi  
  75.   
  76. #   create an own SSLeay config  
  77. # 如果需要修改证书的有效期限,请修改下面的 default_days 参数.  
  78. # 当前设置为10年.  
  79. cat >ca.config <<EOT  
  80. [ ca ]  
  81. default_ca  = CA_own  
  82. [ CA_own ]  
  83. dir = .  
  84. certs   = ./certs  
  85. new_certs_dir   = ./ca.db.certs  
  86. database    = ./ca.db.index  
  87. serial  = ./ca.db.serial  
  88. RANDFILE    = ./ca.db.rand  
  89. certificate = ./ca.crt  
  90. private_key = ./ca.key  
  91. default_days    = 3650  
  92. default_crl_days    = 30  
  93. default_md  = md5  
  94. preserve    = no  
  95. policy  = policy_anything  
  96. [ policy_anything ]  
  97. countryName = optional  
  98. stateOrProvinceName = optional  
  99. localityName    = optional  
  100. organizationName    = optional  
  101. organizationalUnitName  = optional  
  102. commonName  = supplied  
  103. emailAddress    = optional  
  104. EOT  
  105.   
  106. #  sign the certificate  
  107. echo "CA signing: $CSR -> $CERT:"  
  108. openssl ca -config ca.config -out $CERT -infiles $CSR  
  109. echo "CA verifying: $CERT <-> CA cert"  
  110. openssl verify -CAfile ./certs/ca.crt $CERT  
  111.   
  112. #  cleanup after SSLeay   
  113. rm -f ca.config  
  114. rm -f ca.db.serial.old  
  115. rm -f ca.db.index.old  
  116. #  sign.sh END  
  117. echo "使用CA根证书签署服务器证书签署文件完毕。"  
  118.   
  119.   
  120. # 使用了 ssl 之后,每次启动 apache 都要求输入 server.key 的口令,  
  121. # 你可以通过下面的方法去掉口令输入(如果不希望去掉请注释以下几行代码):  
  122. echo "去除 apache 启动时必须手工输入密钥密码的限制:"  
  123. cp -f server.key server.key.org  
  124. openssl rsa -in server.key.org -out server.key  
  125. echo "去除完毕。"  
  126.   
  127.   
  128. # 修改 server.key 的权限,保证密钥安全  
  129. chmod 400 server.key  
  130.   
  131. echo "Now u can configure apache ssl with following:"  
  132. echo -e "\tSSLCertificateFile ${sslOutputRoot}/server.crt"  
  133. echo -e "\tSSLCertificateKeyFile ${sslOutputRoot}/server.key"  
  134.   
  135. #  die gracefully  
  136. exit 0  
weiling_shen
关注
专栏目录
Python中使用OpenSSL生成自签名根证书
CyberNerdX的博客
09-08 538
通过生成自签名根证书,您可以构建自己的证书颁发机构,并使用它来签发其他证书生成自签名根证书的下一步是生成证书请求(Certificate Signing Request,CSR)。自签名根证书是一种由证书颁发机构(CA)自行签名的证书,用于验证其他证书的有效性。下面是使用Python和OpenSSL生成自签名根证书的详细步骤。现在,我们可以使用生成的私钥和证书请求来生成自签名根证书。自签名根证书是由私钥对证书请求进行签名而生成的。最后,我们可以将生成的自签名根证书和私钥保存到文件中。
flask https配置
robin912的专栏
06-14 6782
flask添加https支持 先上代码 from flask import Flask from flask_restful import Resource, Api app = Flask(__name__) api = Api(app) class HelloWorld(Resource): def get(self): return {'hello': '...
python生成免费的ssl证书
最新发布
zhang804633234的专栏
06-10 369
执行 pip install cryptography。生成可信任的SSL证书 需要在域名服务器执行。测试SSL证书不需要验证域名权限。
python证书认证_https双向认证(python)
weixin_39628160的博客
12-05 549
SSL Client Authentication over HTTPS (Python recipe)A 16-line python application that demonstrates SSL client authentication over HTTPS.We also explain the basics of how to set up Apache to require SS...
搭建ssl双向验证python
平凡者的专栏
07-06 849
【代码】搭建ssl双向验证python。
Shell脚本实现生成SSL签署证书
01-20
启用 apache 的 mod_ssl 之后需要有证书才能正常运作。写了个脚本来操作。首先要确定机器上已经有 openssl 。 代码如下: #!/bin/sh # # ssl 证书输出的根目录。...# 创建CA根证书,稍后用来签署用于服务
linux系统openssl 实现ssl自签证书
12-02
`create_ssl.sh`脚本通常包含一系列openssl命令,用于创建私钥(ca.key)和公钥(ca.crt)对,这构成了CA根证书。执行`sh -x create_ssl.sh 0`会生成这些文件,存放在 `/etc/nginx/conf.d` 目录下。 接下来,使用这...
一键脚本自动生产tomcat之pfx格式证书
10-28
在Tomcat中配置SSL/TLS时,通常需要一个由权威证书颁发机构(CA)签署证书,或者在测试环境中使用自签名证书。PFX证书的引入简化了这一过程,因为它将私钥和证书打包在一起,使得导入到Tomcat服务器变得更加便捷。...
Kafka SSL配置教程:生成证书与安全设置
这通常涉及到两个主要步骤:创建自签名的根证书(CA证书)和生成服务器及客户端的证书。 1. **创建自签名的根证书(CA证书)** 使用`openssl`工具创建一个自签名的根证书,这个证书用于签署服务器和客户端的证书。...
使用Python的requests库发送HTTPS请求时的SSL证书验证问题
Dxy1239310216的博客
07-18 5575
2、CA证书根目录缺失:如果您使用的是自签名证书或者是不受常规CA(Certificate Authority)信任的证书,requests库会抛出requests.exceptions.SSLError异常。在这种情况下,您需要确保服务端的SSL证书是有效的,并且在客户端进行验证。此时,您可以尝试在代理服务器上禁用SSL证书验证,或者在requests库中设置verify=False参数来跳过验证。请注意,在安全的生产环境中,强烈建议启用SSL证书验证,以确保通信的安全性。
Python SSL证书验证问题解决方案
01-20
这篇文章主要介绍了Python SSL证书验证问题解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 一、SSL问题 1、在你不启用fiddler时,python代码直接发送https请求,不会有SSL问题(也就是说不想看到SSL问题,关掉fiddler就行) 2.启用fiddler会报出以下错误: raise SSLError(e, request=request) requests.exceptions.SSLError: HTTPSConnectionPool(host='163.com', port=443): Max retr
python简单实现基于SSL的IRC bot实例
09-21
主要介绍了python简单实现基于SSL的IRC bot,实例分析了IRC机器人的相关实现技巧,需要的朋友可以参考下
Python爬虫之SSL认证处理
abc152176的博客
03-23 4494
python爬虫关于SSL认证的问题初遇SSL认证(不是私密连接) 初遇SSL认证(不是私密连接) 当我们爬取12306的时候,会弹出一个窗口,显示连接不是私密连接,这里就是CA机构认证,每次访问的时候都会出现证书页面错误 我们直接写代码 import request import requests response = requests.get('https://www.123...
python实现ssl通信
qq_56426046的博客
11-09 3878
SSL通信的本质就是客户端拿着认证机关的证书去认证对方网站到底是不是你要访问的。客户端以后每次访问一个重要的网站时就要拿着发证机关CA(Cerficate Authority)的证书和对方连接的时候验证一下。客户端连接的时候服务端也有证书,这个证书也是CA发给他们的,里面的内容进行了加密,只要拿CA发给客户的那个证书对接一些就知道对面网站的那个证书是不是真的。这就是SSL的基本逻辑。同时通信的过程也是加密了的,这样就不太容易被窃听的人看明白(即中间人攻击)。所以SSL等于解决了两个问题:流量劫持中间人攻击。
Python关于SSL验证问题
a1991520823的专栏
04-28 274
Python关于SSL验证问题 https://cloud.tencent.com/act/cps/redirect?redirect=31&cps_key=6952b221f5c1294d376262dfc91bc36b&from=console
python tcp socket中实现SSL/TLS认证
海哥python的博客
01-11 2737
官话说SSL是安全套接层(secure sockets layer),TLS是SSL的继任者,叫传输层安全(transport layer security)。说白点,就是在明文的上层和TCP层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP协议是明文传输,加上SSL层之后,就有了雅称HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。
ssl双向认证 -- openssl生成证书
weixin_42497363的博客
10-27 1299
ssl双向认证--openssl生成证书
SSL 认证 python
tortelee的博客
10-20 181
https://www.cnblogs.com/liuhaidon/p/11752734.html
Python3 批量生成阿里云SSL证书(批量读取zip文件内容合并)
lancerh的博客
05-21 409
需求: 1) 在阿里云SSL证书控制台下载Nginx类型的证书 2) 将下载下来的ZIP文件中的证书Key和PEM内容合并成一个新的.PEM结尾的证书 3)最终效果,利用python3读取压缩包文件内容并写入新文件,内容合并 4)以下是全部代码,注意:python3 读取文件后的内容是windows格式的,如果不进行转换一下放到生产是会出问题的,windos转unix。在文件写入的时候 以 "wb+"的二进制形式写入文件 即可得到unix格式的了。 #!/bin/python3 # -*- codin
certgen:一键式快速生成自签名SSL证书脚本
资源摘要信息:"certgen 是一个用于快速生成自签名 SSL/TLS 证书脚本工具。在网络安全领域,SSL/TLS 证书是用于加密客户端与服务器间通信的关键组成部分。尽管自签名证书不提供由可信证书颁发机构签发的证书那样的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值