搭建私有CA及颁发证书脚本

已于 2024-06-23 14:12:38 修改
阅读量174 收藏
点赞数 3
分类专栏: 学习笔记 文章标签: linux 运维
于 2024-06-23 00:21:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangyanling316/article/details/139890417
版权

学习笔记:脚本中的一些文件名字是按照openssl配置文件要求编写。做实验之前,确保/etc/pki/tls/openssl.cnf的配置文件的指定目录及文件名一致。

#!/bin/bash
#创建私有ca的参数
ca_directory="/etc/pki/CA"
country_name="CN"
state_name="nanjin"
city_name="nj"
org_name="microvideo"
department_name="devops"
common_name="baidu.com"
email_name=""


#颁发证书的参数
issue_key_name="/data/app1.key"
issue_cert_name="app1.crt"
issue_city_name="nj"
issue_department_name="it"
issue_common_name="app1.baidu.com"
issue_email_name=""

#自签名证书的参数
self_issue_key_name="/data/self/app2.key"


#openssl x509 -in /etc/pki/CA/cacert.pem -noout [-text|-serial|-subject|dates]     #查看证书信息
#openssl ca -status [serial]   #通过编号查看证书有效性
#openssl crl -in /etc/pki/CA/crl.pem -noout -text  #查看证书吊销列表的文件

#检查并创建目录和文件
check_directory(){
    if [ ! -d ${ca_directory} ]; then
        mkdir -p ${ca_directory}/{certs,crl,newcerts,private}
    fi
    
    if [ ! -f "${ca_directory}/index.txt" ];then
        touch ${ca_directory}/index.txt
    fi
    
    if [ ! -f "${ca_directory}/serial" ];then
        echo 01 > ${ca_directory}/serial
    fi    
}



#创建自己的根CA

self_root_certificate(){
    if [ -f ${ca_directory}/cacert.pem ];then
       echo -e "\033[1;31mcerficate center is exist\033[0m" 
       exit 2
    fi
    #创建CA私钥
    (umask 066; openssl genrsa -out ${ca_directory}/private/cakey.pem 2048)
    #创建自签名证书,到此完成根ca搭建
    if [ $? -eq 0 ];then
        openssl req -new -x509 -key ${ca_directory}/private/cakey.pem -days 3650 -out ${ca_directory}/cacert.pem <<EOF
${country_name}
${state_name}
${city_name}
${org_name}
${department_name}
${common_name}
${email_name}
EOF
    fi
}

#颁发证书
issue_certficate(){
    if [ ! -f ${ca_directory}/cacert.pem ];then
        echo -e "\033[1;31mroot cerficate center not exist\033[0m"
        exit 1
    fi
    
    if [ ! -d ${issue_key_name%/*} ];then
        mkdir -p ${issue_key_name%/*}
    fi
    #生成一个未加密的私钥文件
    (umask 066; openssl genrsa -out ${issue_key_name} 2048)
    #生成证书申请文件,%表示行尾匹配,里面还要密码,不填,有2行空格
    openssl req -new -key ${issue_key_name} -out ${issue_key_name/%key/csr}<<EOF
${country_name}
${state_name}
${issue_city_name}
${org_name}
${issue_department_name}
${issue_common_name}
${issue_email_name}


EOF
    #证书颁发
    if [ $? -eq 0 ];then
        openssl ca -in ${issue_key_name/%key/csr} -out ${ca_directory}/certs/${issue_cert_name} -days 3650 <<EOF
y
y
EOF
    fi
    cp ${ca_directory}/certs/${issue_cert_name} ${issue_key_name%/*} && echo -e "\033[1;32myou can find cert in ${issue_key_name%/*}\033[0m"
}

#吊销证书
certificate_V(){
    ls -l ${ca_directory}/certs
    echo -e "\033[1;33m是否需要吊销证书[y/n]:\033[0m"
    read M
    if [ ${M} == "y" ];then
        while :;do
            read -p "请输入需要吊销的证书[q退出]:" cert_revoke_name 
            if [ ${cert_revoke_name} == "q" ];then
                break
            fi
            #第一次执行证书吊销列表命令的时候要有这个文件
            if [ ! -f ${ca_directory/crlnumber} ];then
                echo 01 > ${ca_directory/crlnumber}
            fi
            openssl x509 -in ${ca_directory}/certs/${cert_revoke_name} -noout -serial -subject
            if [ $? -eq 0 ];then
                openssl ca -revoke ${ca_directory}/certs/${cert_revoke_name}
                #更新证书吊销列表
                openssl ca -gencrl -out ${ca_directory}/crl.pem
            else
                echo -e "\033[1;31m吊销的证书不存在或已吊销!!!\033[0m"
            fi
        done
    else
        echo -e "\033[1;32mnot revoke cerficate!!!\033[0m"
        exit 4
    fi
}

#自签名证书
issue_self_crt(){
    if [ ! -d ${self_issue_key_name%/*} ];then
        mkdir -p ${self_issue_key_name%/*}
        
    fi
    openssl req -utf8 -newkey rsa:1024 -subj "/CN=www.baidu.com" -keyout ${self_issue_key_name} -nodes -x509 -out ${self_issue_key_name/%key/crt}
}


main(){
    cat - <<EOF
0:创建根CA
1:颁发证书
2:自签发证书
3:吊销证书    
EOF
    read -p "请选择的操作[0-3]:" N
    case $N in  
    0)
        check_directory
        self_root_certificate
        ;;
    1)
        issue_certficate
        ;;
    2)
        issue_self_crt
        ;;
    3)
        certificate_V
        ;;
    *)
        exit 3
        ;;
    esac   
}

main

zhangyanling316
关注
专栏目录
脚本实现创建CA颁发证书
weixin_34198453的博客
03-10 149
#!/bin/bashchopenssl() {MYOPENSSL=/etc/pki/tls/openssl.cnfsed -i 's@../../CA@/etc/pki/CA@g' $MYOPENSSLsed -i 's@= GB@= CN@g' $MYOPENSSLsed -i 's@= Berkshire@= Henan@g' $MYOPENSSLsed -i '...
Linux实现搭建私有CA服务器和证书申请颁发吊销
SunMy的博客
04-27 1483
CA证书 CA证书的签发机构,它是公钥基础设施(Public Key Infrastructure,PKI)的核心。 CA是负责签发证书、认证证书、管理已颁发证书的机关。 PKI:Public Key Infrastructure 公共密钥加密体系 签证机构:CA(Certificate Authority) 注册机构:RA 证书吊销列表:CRL 证书存取库: X.509 定义了证书的结构以及认证协议标准 版本号 序列号 签名算法 颁发者 有效期限 主体名称 证书类型: 证书授权机构的证书
Linux编写shell脚本实现快速创建私有CA证书服务器
SunMy的博客
04-27 490
creatCA.1.0.1.sh # ################################################## #Author: timonium #E-mail: 8528379[AT]sina.com #Date: 2021-04-27 #FileName: creatCA.1.0.1.sh #BlogURL: https://blog.csdn.net/timonium #Description: Auto Creat
私有CA搭建并将HTTPS应用于Tomcat、Springboot
u013256012的博客
12-17 3646
目录 1 CA概念 2 HTTPS过程 3 环境说明 4 搭建私有CA 4.1 环境准备 4.2 搭建CA中心 4.3 操作错误从新来过 5 浏览器证书配置 6 创建服务器证书 6.1 环境准备 6.2 创建服务器证书 6.2 配置证书 7 将CA证书导入JDK 8 创建Tomcat服务器证书 9 Tomcat的HTTPS配置 9.1 单向认证 9.2 双向认证 ...
构建CA证书详解过程步骤
ljc1999的博客
01-21 3791
目录一、CA中心申请证书的过程二、CA介绍三、构建私有CA1.环境:2.检查安装openSSL3.查看配置文件4.根证书服务器目录5.创建所需文件6.创建密钥7.生成自签名证书8.下载安装证书四、客户端CA证书申请及签名1.检查安装openSSL2.客户端生成密钥3.客户端用私钥加密生成证书请求4.CA服务端签署证书5.CA服务端将证书发给请求服务端6.CA服务端调整7.测试 一、CA中心申请证书的过程 1、web服务器,生成一对非对称加密密钥(web公钥,web私钥) 2、web服务器使用 web私钥生成
openssl私有CA实现及私有证书签署
donghaixiaolongwang的博客
02-18 2678
当你用到私有CA自签证书的时候,那意味着你的数据需要加密了(在互联网上或者其他使用场景下传输数据)。  要想做到数据安全必须具备以下因素:数据的机密性(数据在传输的过程中必须加密,一般用对称加密算法)、数据的完整性(数据传输过程中不能出错或者被人修改,一般用单项加密算法)、身份认证(明确数据传输双方身份,一般用公钥加密)。 证书是怎么被使用的呢? 以https为例,用户(浏览器端)向服务
Docker私有仓库Harbor搭建及使用
热门推荐
秦子腾
04-21 2万+
官网地址:https://github.com/goharbor/harborDocker容器应用的开发和运行离不开可靠的镜像管理,虽然Docker官方也提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。Harbor是由VMware公司开源的企业级的Docker Registry管理项目,它包括权限管理(RBAC)、LDAP、日志审核、管理界面、自我注册、镜像复制和中文支持等功能。
docker搭建私有仓库、自签发证书、登录认证
小薯条的博客
12-26 3284
#先吧私有仓库down下来,这需要一点时间,刚好这中间的时间,我们可以准备一下其他的东西 docker pull registry 紧接着,registry需要https运行环境,所以来生成我们自己的证书(简单说明一下,目前的registry版本是2,之前的1是支持非ssl的,docker在0.9以下。) 先交代一下环境:物理机是win10,使用hyper-v 虚拟一个cenots(ip...
基于OpenSSL自建CA颁发SSL证书
leolewin的博客
09-16 3582
关于SSL/TLS介绍见文章 SSL/TLS原理详解。 关于证书授权中心CA以及数字证书等概念,请移步 OpenSSL 与 SSL 数字证书概念贴 。 openssl是一个开源程序的套件、这个套件有三个部分组成:一是libcryto,这是一个具有通用功能的加密库,里面实现了众多的加密库;二是libssl,这个是实现ssl机制的,它是用于实现TLS/SSL的功能;三是openssl,是个多功
centos 配置证书_如何在CentOS 8上设置和配置证书颁发机构(CA
08-16 3866
centos 配置证书 介绍 (Introduction) A Certificate Authority (CA) is an entity responsible for issuing digital certificates to verify identities on the internet. Although public CAs are a popular choice for ...
Linux学习28-CA搭建证书申请
你的微笑像茉莉的博客
09-19 1346
2. OpenSSL工具 2.1 概述 主要组件 openssl: 多用途的命令行工具,包openssl libcrypto: 加密算法库,包openssl-libs libssl:加密模块应用库,实现了ssl及tls,包nss 涉及名称:satl值 原理: 为用户密码添加Salt值,使得加密的得到的密文更加冷僻,不宜查询。即使黑客有密文查询到的值,也是加了salt值的密码,而非用户设置...
OpenStack ussuri 私有云平台搭建企业级实战
悦分享
10-12 1738
openstack是一个云操作系统,这个操作系统控制着数据中心中的计算,存储和网络资源。所有这些资源的管理都是通过API来来实现的,并且管理资源都有相应的认证机制。在openstack中有一个叫做dashboard的仪表盘,这个仪表盘通过web界面可以管理这些在DC中的资源。除了能提供IaaS功能外,你还可以使用orchestration,错误管理和服务管理等服务来确保应用的高可用性。
linux 网络序
CodeHouse的博客
09-30 469
在将ip字符串转网络序存储时。根据整形二进制显示判断。
Linux 再入门整理:详解 /etc/fstab 文件
一只奋斗的猪
10-01 1200
`/etc/fstab` 文件是 Linux 系统中用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统中一种将存储设备与目录树关联的操作。通过挂载,存储设备中的文件可以通过目录访问。
在 Kali Linux 中安装 Impacket
weixin_44023460的博客
09-30 351
在安装 Impacket 之前,你需要确保安装了 Python 和一些必要的依赖。通常,Kali 已经预装了 Python。步骤 3:克隆 Impacket 仓库。步骤 4:进入 Impacket 目录。如果你看到帮助信息,说明安装成功。步骤 5:安装 Impacket。
Linux的基本指令(2)
shylyly_的博客
10-01 997
Linux的基本指令(2) man nano cp mv which 自制指令 alias echo cat tac > >> < more less head tail |(管道)
使用Python实现在 Linux 和 Windows 之间的双向文件传输
2301_80892630的博客
09-29 717
Linux 和 Windows 之间可以用python程序实现双向文件传输,通过创建一个简单的文件传输程序来实现。该程序将使用套接字socket通信,允许任意一端发送或接收文件。这是在我的那篇实现python两个进程之间相互通信的基础上拓展的(不过只看这一篇文章也行),那篇文章传输的数据是字符串类型,今天我来实现文件的传输。
linux之curl
最新发布
qq_41081716的博客
10-06 161
发送指定的数据作为POST请求的主体。数据可以是键值对的形式。: 添加自定义HTTP头部。可以多次使用以添加多个头部。: 用于发送表单数据,特别是文件上传。: 指定请求方法,例如。
linux 系统搭建私有ca证书
09-14
要在Linux系统上搭建私有CA证书,您可以按照以下步骤进行操作: 1. 安装OpenSSL:在终端中运行以下命令安装OpenSSL: ``` sudo apt-get install openssl ``` 2. 创建CA目录:在终端中运行以下命令创建一个目录来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值