购买阿里云服务器数字证书后, 使用openssl命令,编写linux shell脚本,实现自己给 客户快速颁发证书

最新推荐文章于 2022-08-19 15:20:05 发布
最新推荐文章于 2022-08-19 15:20:05 发布
阅读量808 收藏 1
点赞数
分类专栏: Linux # Nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zx1323/article/details/79624022
版权
Linux 同时被 2 个专栏收录
24 篇文章 0 订阅
订阅专栏
Nginx
4 篇文章 0 订阅
订阅专栏

起因:公司项目使用了HTTPS协议,且针对不同地区的分公司需要进行划分,使用数字证书提高安全性

阿里云购买的证书:客户用浏览器打开网站,自动有小锁的标志,不会提示不安全

给客户颁发的证书:用于区分客户,不同的客户,颁发不同的证书,有密码保护安全系数高(比防火墙好的地方在于,不需要频繁配置防火墙了)

以上均为个人拙见。

参考:

spring boot https双向认证 

http://horde.i-dudu.com/t/spring-boot-https/522

SSL双向认证(高清版)

http://www.cnblogs.com/duanxz/p/4204208.html

生成证书  

https://www.alibabacloud.com/help/zh/doc-detail/32334.htm?spm=a3c0i.o32335zh.b99.52.3af623f9Er1ywL

springBoot文档链接

http://oopsguy.com/documents/springboot-docs/1.5.4/index.html#howto-configure-ssl


申请证书文件时需要填写的信息,示例如下

除了两个不填(其他的都是比较重要的信息 或者 会有默认值 )

countryName = CN  (中国
stateOrProvinceName =
localityName = Shanghai  城市
organizationName = xxxxx组织
organizationalUnitName =   组织单位
commonName = xxxxx.com   (根证书,和申请证书在此处的有些许不同;颁发者、证书路径,会展示该数据) 

emailAddress = it@xxxxx.com  邮箱


以下是摘自开头连接文章中的内容,因为我只需要给客户生成证书

1、 openssl genrsa -out rootkey.pem 2048

生成根证书的密匙。

2、 openssl req -x509 -new -key rootkey.pem -out root.crt
生成根证书。注意-x509,与步骤4和7不同。需要输入机构相关信息。

3、 openssl genrsa -out clientkey.pem 2048
生成客户端的密匙。

4、 openssl req -new -key clientkey.pem -out client.csr
生成客户端证书的请求文件。请求根证书来签发。

5、 openssl x509 -req -in client.csr -CA root.crt -CAkey rootkey.pem -CAcreateserial -days 3650 -out client.crt
用根证书来签发客户端请求文件,生成客户端证书client.crt。

6、 openssl pkcs12 -export -in client.crt -inkey clientkey.pem -out client.p12
打包客户端资料为pkcs12格式(client.p12)。需要输入密码,请记住。

7、 keytool -importkeystore -srckeystore client.p12 -destkeystore client.jks -srcstoretype pkcs12
生成客户端keystore(client.jks)。使用keytool的importkeystore指令。p12转jks。需要pkcs12密码和jks密码。

以下为生成服务端对客户端的信任文件:
8、 keytool -importcert -alias ca -file root.crt -keystore clienttrust.jks
生成Client端的对外KeyStore。先把根证书放到里面,这个是服务端用的。

9、 keytool -importcert -alias clientcert -file client.crt -keystore clienttrust.jks
把Client证书加到对外KeyStore里面,这个是服务端用的。

======================================================================

keytool -v -list -keystore  ******.jks
查看签名的信息



编写脚本简化操作

问题1.:执行shell时  报错 Text file busy

解决方案:关闭了shell连接,重新登录

问题2:执行shell却提示找不到文件

https://www.cnblogs.com/felixzh/p/6108345.html

bin/sh^M: bad interpreter: No such file or directory解决

问题:bin/sh^M: bad interpreter: No such file or directory

原因:.sh脚本在windows系统下用记事本文件编写的。不同系统的编码格式引起的。

解决方法:修改.sh文件格式
 
   (1)使用vi工具
 
      vi test.sh
 
    (2)利用如下命令查看文件格式 
     :set ff 或 :set fileformat 
     可以看到如下信息 
     fileformat= dos 或 fileformat=unix 
     (3) 利用如下命令修改文件格式 
     :set ff=unix 或 :set fileformat=unix 
     :wq (存盘退出)

拼凑shell命令,本来应该抽取参数为配置文件的,2018-03-21 00:53:35 已经凌晨了,以后有机会再优化吧

root_ca.sh 用于创建根证书,顺带查看jks文件中已有的证书

#!/bin/bash
#echo "开始创建根证书,用于给子证书授权"


#TODO 变量应该修改到配置文件中
#source openssl.conf 
#echo $localityName

#仓库密码 6位复杂密码
jks_password="zxc123456"
rootkey_pem="rootkey.pem"
root_crt="root.crt"
clienttrust_jks="client_trust.jks"

#生成密钥
if [ ! -f "${rootkey_pem}" ];then
	openssl genrsa -out ${rootkey_pem} 2048
fi
#每次生成的指纹都会不同,运行一次即可
if [ ! -f "${root_crt}" ];then
	openssl req -x509 -new -key ${rootkey_pem} -out ${root_crt} -subj "/C=CN/L=Shanghai/O=xxxxx/CN=xxxxx.com/emailAddress=it@xxxxx.com"
fi
#导入 根ca文件 生成jks文件仓库
keytool -importcert -alias root -file ${root_crt} -keystore ${clienttrust_jks} -deststorepass  ${jks_password}
echo "root CA create success!"
#查看已经信任的,证书
keytool -v -list -keystore  ${clienttrust_jks} -storepass  ${jks_password}
client_ca.sh 用于给客户生成证书,会自动添加到 client_trust.jks文件中 
#!/bin/bash
#echo "开始创建子证书(需要在浏览器安装,用于鉴定用户)"

#读取配置文件
#source openssl.conf 
#echo $localityName

#导入证书时需要输入
p12_password="123456"
#组织名称
orgName="shanghai"

#仓库密码 6位复杂密码
jks_password="zxc123456"
#存放文件前缀
filePrefix="${orgName}/${orgName}"
#根证书
root_crt="root.crt"
rootkey_pem="rootkey.pem"

pem="${filePrefix}key.pem"
csr="${filePrefix}.csr"
crt="${filePrefix}.crt"
p12="${filePrefix}.p12"
jks="${filePrefix}.jks"
clienttrust_jks="client_trust.jks"


if [ ! -d "${orgName}" ];then
	mkdir ${orgName}
else
	echo "directory already exists!"
fi
#mkdir "${orgName}"
#生成密钥
openssl genrsa -out ${pem} 2048
#生成证书请求文件
openssl req -new -key ${pem} -out ${csr} -subj "/C=CN/L=Shanghai/O=xxxxx/CN=${orgName}.xxxxx.com/emailAddress=it@xxxxx.com"
#根据根证书和申请文件,生成证书
openssl x509 -req -in ${csr} -CA ${root_crt} -CAkey ${rootkey_pem} -CAcreateserial -days 3650 -out ${crt} 
#生成p12文件 需要密码
openssl pkcs12 -export -in ${crt} -inkey ${pem} -out ${p12} -passout pass:${p12_password}

#生成jks文件
keytool -importkeystore -srckeystore ${p12} -destkeystore ${jks} -destalias ${orgName} -deststorepass  ${jks_password} -srcstoretype pkcs12 -srcalias 1 -srcstorepass ${p12_password}

#将本次生成的jks文件 导入仓库
keytool -importcert -alias ${orgName} -file ${crt} -keystore ${clienttrust_jks} -deststorepass ${jks_password}

echo "client CA create success!"

两个shell的脚本耦合性还是比较高,后续再整理

使用方法

1.粘贴代码,创建shell文件( chmod +x xxxx.sh 修改执行权限)

2.先运行    ./root_ca.sh

3.再运行    ./client_ca.sh

出现提示 按Y键  回车即可

生成的证书 .p12结尾的文件传给客户,client_trust.jks配置在springBoot中

client_ca.sh 是给上海分公司生成了一个证书,其中的邮箱,组织名称等按照自己的需要进行修改

如有错误之处,还望指正!

至于为什么不配置 服务器端的证书,是因为公司已经购买了阿里云的证书,所以就省略了这一步

后续将贴出nignx配置和springBoot配置

===================================

在照着“spring boot https双向认证”这篇文章中的配置时,eclipse有报错,

Error - trustAnchors parameter must be non-empty

这个报错好像是证书配置错了,具体细节没深究,我重新跟着文章生成证书,确认配置文件后就没这个问题了

Cannot recover key

查看.p12证书文件命令

keytool -v -list -keystore ****.p12

输入密码后就能看到别名为数字 1

参考下面的springBoot配置

==============================================

这个参数需要配置在springBoot.yml配置文件

server:
  port: 8002
  ssl:
    key-store: classpath:ssl/阿里云提供的证书文件.pfx
    key-store-password: *****阿里云提供的密码****
    keyStoreType: PKCS12
   
 #   key-password: 123456 # .p12文件的 导入密码
 #   key-store: classpath:ssl/server.jks
 #   key-store-password: zxc123456
 #   keyStoreType: JKS
 #   key-alias: 1
    trust-store: classpath:ssl/client_trust.jks
    trust-store-password: zxc123456
    trustStoreType: JKS
    client-auth: need

nginx中的 server配置

server {
        listen       4433;
        server_name  localhost;
			ssl on;
			ssl_certificate      cert/阿里云证书.pem;
			ssl_certificate_key  cert/阿里云证书.key;
			ssl_session_timeout 5m;
			ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
			ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
			ssl_prefer_server_ciphers on;
		 
			ssl_client_certificate cert/root.crt;
			ssl_verify_client on;
        location / {
	    root   C:/Users/Administrator/git/web;
            index  index.html index.htm;
        }
		
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }
zx1323
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mkssl:使用OpenSSL创建证书颁发机构和证书Shell脚本
05-01
使用OpenSSL创建证书颁发机构和证书MichaëlBekaert ##摘要这是使用OpenSSL 0.9.5作为参考编写的。 首先,您需要OpenSSL。 编译和安装遵循通常的方法。 值得注意的是,默认值将所有内容安装在/usr/local/ssl 。 ...
详解IIS+阿里云免费证书搭建HTTPS环境
lilin的专栏
04-08 635
一、HTTPS简介: 1、HTTP 协议(HyperText Transfer Protocol,超文本传输协议):是客户端浏览器或其他程序与Web服务器之间的应用层通信协议 。 2、HTTPS 协议(HyperText Transfer Protocol over Secure Socket Layer):可以理解为HTTP+SSL/TLS, 即 HTTP 下加入 SSL 层,HTTPS 的...
阿里云 CDN HTTPS 最佳实践——客户证书认证
weixin_34272308的博客
11-27 491
背景 我们在使用 HTTPS 时经常接触到的是服务器证书认证(单向认证),很少用到客户证书认证(双向认证),这是因为对于 web 网站来说,用户数目广泛,使用服务器证书认证就够了,无需在 SSL 层做用户身份验证,对于需要验证的页面再在应用逻辑层来做用户身份验证(比如常见的账号密码登录),使用客户证书认证反而影响用户体验。但是对于一些特殊企业客户,在...
配置使用阿里云免费SSL证书
LiGui_kill的博客
05-27 676
1、证书申请入口 官方文档:https://help.aliyun.com/document_detail/205510.html?spm=a2c4g.11186623.6.689.3ba27af35DlcUV 购买及创建证书 点击证书申请,填写申请信息 申请后效果 下载证书到本地,我们是spring-boot项目,所以下载tomcat证书 下载到的证书 2、服务器配置 服务器使用ssl证书,需要安装OpenSSL 下载OpenSSL 地址:https://www.openssl.or
crt使用root帐号登录linux
weixin_33897722的博客
11-29 198
为什么80%的码农都做不了架构师?>>> ...
CRT连接linux,新建的用户“oralce”可以登陆了,root就登录不了了。 /etc/ssh/sshd_config 找到 PermitRootLogin no 改为yes
全力以赴烂口发_青春饭耗不起
11-20 5050
================= 配置安装oracle环境过程中可能修改了root登录限制。 ========== 找到的办法: 远程登录的话查看下/etc/ssh/sshd_config 找如下的一句 PermitRootLogin no 改为如下的; PermitRootLogin yes 不行的话 cat /etc/security看下有没这么一行: SU_ROOT
Shell脚本实现生成SSL自签署证书
01-20
启用 apache 的 mod_ssl 之后需要有证书才能正常运作。写了个脚本来操作。首先要确定机器上已经有 openssl 。 代码如下: #!/bin/sh # # ssl 证书输出的根目录。 sslOutputRoot=”/etc/apache_ssl” if [ $# -eq 1 ]...
使用 OpenSSL 创建生成CA 证书服务器客户证书及密钥
最新发布
01-16
本文将详细介绍如何使用 OpenSSL 创建和管理CA证书服务器证书客户证书,以实现SSL单向认证和双向认证。 首先,我们来看一下如何生成 CA(证书颁发机构)证书。CA证书是信任的根,用于签署其他证书,确保网络...
分享9个实战及面试常用Linux Shell脚本编写
09-15
在IT领域,Linux Shell脚本编写是系统管理员和开发者日常工作中不可或缺的一部分,它能提高工作效率,简化复杂的自动化任务。下面我们将详细探讨标题和描述中提到的9个实战及面试常用的Linux Shell脚本编写技巧和...
SpringBoot 使用RestTemplate 使用https 调用第三方接口 报错the trustAnchors parameter must be non-empty
一颗浑身披带雪花的松树---[雪松]
05-08 2351
目录 1、问题现场 2、定位问题 2.1 、表象的迷惑 2.2、问题的本质 3、查找安装jdk路径 4、总结 5、参考文章 1、问题现场 因需要部署SpringBoot项目到合作厂商的云服务器上,项目因为调用公司内容其他业务的接口上传Scorm文件。为保障能够正常使用,重点验证了调用了第三方接口功能是否正常。 结果发现调用第三方接口出现问题,无法上传Scorm文件。开始定位为第三方服务问题,让服务提供方进行跟踪排查。因为本功能在现有线上是正常的。具体报错如下: 2021...
openssl 签发证书相关命令
zhangxm_qz的博客
05-11 885
生成私钥 作为根证书私钥 [root@localhost certs]# openssl genrsa -out ca.key 2048 Generating RSA private key, 2048 bit long modulus ...............+++ ...................+++ e is 65537 (0x10001) [root@localhost certs]# ll total 12 -rw-r--r--. 1 root root 1261 Apr 17 21
OpenSSL与KeyStore指令小集
热门推荐
永无止境,上下求索
02-05 1万+
前言 最近项目里面用到了SSL双向认证和传输加密的技术,研究了一下,想把相关的指令和代码分享出来,以期后来者能够少踩坑,顺利解决问题。我们的项目服务器是C,客户端为Java,CS架构,中间通过Socket通讯。 OpenSSL和Java KeyStore本质上没有关系,只是客户端用到Java,Java里面SSL认证加密的密码和证书需要存储到KeyStore这个容器里面,所以OpenSSL产生的
SpringBoot 自签名证书使用 及 HttpClient调用自签名服务器Https接口报错
u010359099的博客
08-19 1607
openssl keytool 钥匙串(mac) 都可以生成自签名证书,这里不多描述。由于服务端使用自签名证书,导致客户端HttpClient调用的时候报错。参考 > JDK导入自签名证书且启用信任证书>这种问题是证书有问题,需要重新生成具有。功能读取受信任的证书,代码请参考。可以通过定义配置来设置相关属性。将需要添加信任的证书导入到。可以参考命令提示使用。从另一个存储库导入到。设置存储库的访问密码。
SpringBoot web项目配置Https双向认证启动报错:InvalidAlgorithmParameterException
zhouxukun123的专栏
04-29 2659
一 问题 如下: server: tomcat: ... port: 9698 http-port: 9697 ssl: key-store: server.p12 key-store-password: 123456 key-store-type: PKCS12 key-alias: server enabled: true ...
the trustAnchors parameter must be non-empty 报错
weixin_33810302的博客
08-01 7139
为什么80%的码农都做不了架构师?>>> ...
利用Openssl自签名证书生成与单双向认证通信
qq_41812260的博客
07-03 848
文章目录1.什么是CA?2.如何生成证书2.1生成CA key 1.什么是CA? 1.CA(Certificate Authority)是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。 2.CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。 2.如何生成证书 2.1生成CA key 1.首先随意创建一个文件夹 2.在当前文件夹下输入命令openssl genrsa -out ca.key 2048 (参数说明): 1.ge
openssl 颁发中文机构证书
zx1323的博客
03-21 546
百度上,goole上找了很多网页,创建的机构始终有乱码甚至升级了openssl,没效果写了两个shell脚本  一个是生成 根证书:正常一个是给客户颁发证书:输入中文参数 乱码后面越想越不对,突然想起,两个文件的编码格式是不是不同进入文件vi  文件名.sh查看文件编码    set fileencdiong可以看到文件格式的不同root_ca.sh   utf8client_ca.sh ansi...
使用shell命令 获取服务器证书
07-16
你可以使用以下命令获取服务器证书: ``` openssl_client -showcerts -connect <服务器地址>:<端口号> ``` 其中,`<服务器地址>`是你要连接的服务器的域名或IP地址,`<端口号>`是服务器的端口号(通常为443)。 这个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值