SSL自签署证书生成脚本

最新推荐文章于 2025-06-12 08:53:49 发布
转载 最新推荐文章于 2025-06-12 08:53:49 发布 · 680 阅读 · 1

  1. #!/bin/sh  
  2. #  
  3.   
  4. # ssl 证书输出的根目录。  
  5. sslOutputRoot="/etc/apache_ssl"  
  6. if [ $# -eq 1 ]; then  
  7.     sslOutputRoot=$1  
  8. fi  
  9. if [ ! -d ${sslOutputRoot} ]; then  
  10.     mkdir -p ${sslOutputRoot}  
  11. fi  
  12.   
  13. cd ${sslOutputRoot}  
  14.   
  15. echo "开始创建CA根证书..."  
  16. #  
  17. # 创建CA根证书,稍后用来签署用于服务器的证书。如果是通过商业性CA如  
  18. # Verisign 或 Thawte 签署证书,则不需要自己来创建根证书,而是应该  
  19. # 把后面生成的服务器 csr 文件内容贴入一个web表格,支付签署费用并  
  20. # 等待签署的证书。关于商业性CA的更多信息请参见:   
  21. # Verisign - http://digitalid.verisign.com/server/apacheNotice.htm   
  22. # Thawte Consulting - http://www.thawte.com/certs/server/request.html   
  23. # CertiSign Certificadora Digital Ltda. - http://www.certisign.com.br   
  24. # IKS GmbH - http://www.iks-jena.de/produkte/ca /   
  25. # Uptime Commerce Ltd. - http://www.uptimecommerce.com   
  26. # BelSign NV/SA - http://www.belsign.be   
  27. # 生成CA根证书私钥  
  28. openssl genrsa -des3 -out ca.key 1024   
  29.   
  30. # 生成CA根证书  
  31. # 根据提示填写各个字段, 但注意 Common Name 最好是有效根域名(如 zeali.net ),  
  32. # 并且不能和后来服务器证书签署请求文件中填写的 Common Name 完全一样,否则会  
  33. # 导致证书生成的时候出现   
  34. # error 18 at 0 depth lookup:self signed certificate 错误  
  35. openssl req -new -x509 -days 365 -key ca.key -out ca.crt   
  36. echo "CA根证书创建完毕。"  
  37.   
  38. echo "开始生成服务器证书签署文件及私钥 ..."  
  39. #  
  40. # 生成服务器私钥  
  41. openssl genrsa -des3 -out server.key 1024   
  42. # 生成服务器证书签署请求文件, Common Name 最好填写使用该证书的完整域名  
  43. # (比如: security.zeali.net )  
  44. openssl req -new -key server.key -out server.csr    
  45. ls -altrh  ${sslOutputRoot}/server.*  
  46. echo "服务器证书签署文件及私钥生成完毕。"  
  47.   
  48. echo "开始使用CA根证书签署服务器证书签署文件 ..."  
  49. #  
  50. # 签署服务器证书,生成server.crt文件  
  51. # 参见 http://www.faqs.org/docs/securing/chap24sec195.html  
  52. #  sign.sh START  
  53. #  
  54. #  Sign a SSL Certificate Request (CSR)  
  55. #  Copyright (c) 1998-1999 Ralf S. Engelschall, All Rights Reserved.   
  56. #  
  57.   
  58. CSR=server.csr  
  59.   
  60. case $CSR in  
  61. *.csr ) CERT="`echo $CSR | sed -e 's/\.csr/.crt/'`" ;;  
  62. * ) CERT="$CSR.crt" ;;  
  63. esac  
  64.   
  65. #   make sure environment exists  
  66. if [ ! -d ca.db.certs ]; then  
  67.     mkdir ca.db.certs  
  68. fi  
  69. if [ ! -f ca.db.serial ]; then  
  70.     echo '01' >ca.db.serial  
  71. fi  
  72. if [ ! -f ca.db.index ]; then  
  73.     cp /dev/null ca.db.index  
  74. fi  
  75.   
  76. #   create an own SSLeay config  
  77. # 如果需要修改证书的有效期限,请修改下面的 default_days 参数.  
  78. # 当前设置为10年.  
  79. cat >ca.config <<EOT  
  80. [ ca ]  
  81. default_ca  = CA_own  
  82. [ CA_own ]  
  83. dir = .  
  84. certs   = ./certs  
  85. new_certs_dir   = ./ca.db.certs  
  86. database    = ./ca.db.index  
  87. serial  = ./ca.db.serial  
  88. RANDFILE    = ./ca.db.rand  
  89. certificate = ./ca.crt  
  90. private_key = ./ca.key  
  91. default_days    = 3650  
  92. default_crl_days    = 30  
  93. default_md  = md5  
  94. preserve    = no  
  95. policy  = policy_anything  
  96. [ policy_anything ]  
  97. countryName = optional  
  98. stateOrProvinceName = optional  
  99. localityName    = optional  
  100. organizationName    = optional  
  101. organizationalUnitName  = optional  
  102. commonName  = supplied  
  103. emailAddress    = optional  
  104. EOT  
  105.   
  106. #  sign the certificate  
  107. echo "CA signing: $CSR -> $CERT:"  
  108. openssl ca -config ca.config -out $CERT -infiles $CSR  
  109. echo "CA verifying: $CERT <-> CA cert"  
  110. openssl verify -CAfile ./certs/ca.crt $CERT  
  111.   
  112. #  cleanup after SSLeay   
  113. rm -f ca.config  
  114. rm -f ca.db.serial.old  
  115. rm -f ca.db.index.old  
  116. #  sign.sh END  
  117. echo "使用CA根证书签署服务器证书签署文件完毕。"  
  118.   
  119.   
  120. # 使用了 ssl 之后,每次启动 apache 都要求输入 server.key 的口令,  
  121. # 你可以通过下面的方法去掉口令输入(如果不希望去掉请注释以下几行代码):  
  122. echo "去除 apache 启动时必须手工输入密钥密码的限制:"  
  123. cp -f server.key server.key.org  
  124. openssl rsa -in server.key.org -out server.key  
  125. echo "去除完毕。"  
  126.   
  127.   
  128. # 修改 server.key 的权限,保证密钥安全  
  129. chmod 400 server.key  
  130.   
  131. echo "Now u can configure apache ssl with following:"  
  132. echo -e "\tSSLCertificateFile ${sslOutputRoot}/server.crt"  
  133. echo -e "\tSSLCertificateKeyFile ${sslOutputRoot}/server.key"  
  134.   
  135. #  die gracefully  
  136. exit 0  
Python中使用OpenSSL生成自签名根证书
CyberNerdX的博客
09-08 753
通过生成自签名根证书,您可以构建自己的证书颁发机构,并使用它来签发其他证书生成自签名根证书的下一步是生成证书请求(Certificate Signing Request,CSR)。自签名根证书是一种由证书颁发机构(CA)自行签名的证书,用于验证其他证书的有效性。下面是使用Python和OpenSSL生成自签名根证书的详细步骤。现在,我们可以使用生成的私钥和证书请求来生成自签名根证书。自签名根证书是由私钥对证书请求进行签名而生成的。最后,我们可以将生成的自签名根证书和私钥保存到文件中。
flask https配置
robin912的专栏
06-14 6945
flask添加https支持 先上代码 from flask import Flask from flask_restful import Resource, Api app = Flask(__name__) api = Api(app) class HelloWorld(Resource): def get(self): return {'hello': '...
自动检查并生成自签名SSL证书脚本
最新发布
Leon_Jinhai_Sun的博客
06-12 279
这段代码是一个 Bash shell 脚本片段,主要用于检查并生成默认的自签名 SSL 证书(俗称"snakeoil"证书)。
Python 使用 OpenSSL 生成自签名 SSL 证书
weixin_67653538的博客
10-16 1575
在某些开发场景中,你可能需要为你的本地服务器或者测试环境生成自签名的 SSL 证书。本篇博客将介绍如何使用 Python 的OpenSSL生成一个包含多个域名的自签名证书
python生成免费的ssl证书
zhang804633234的专栏
06-10 607
执行 pip install cryptography。生成可信任的SSL证书 需要在域名服务器执行。测试SSL证书不需要验证域名权限。
python证书认证_https双向认证(python)
weixin_39628160的博客
12-05 585
SSL Client Authentication over HTTPS (Python recipe)A 16-line python application that demonstrates SSL client authentication over HTTPS.We also explain the basics of how to set up Apache to require SS...
Shell脚本实现生成SSL签署证书
01-20
启用 apache 的 mod_ssl 之后需要有证书才能正常运作。写了个脚本来操作。首先要确定机器上已经有 openssl 。 代码如下: #!/bin/sh # # ssl 证书输出的根目录。...# 创建CA根证书,稍后用来签署用于服务
linux系统openssl 实现ssl自签证书
12-02
`create_ssl.sh`脚本通常包含一系列openssl命令,用于创建私钥(ca.key)和公钥(ca.crt)对,这构成了CA根证书。执行`sh -x create_ssl.sh 0`会生成这些文件,存放在 `/etc/nginx/conf.d` 目录下。 接下来,使用这...
ssl证书自动续签脚本
03-20
嗯,用户想要找一个能自动续签SSL证书脚本,还提到用OpenSSL和ACME客户端。首先,我得回忆一下ACME协议是什么,它是Let's Encrypt用的自动化证书管理协议。自动续签的话,通常需要ACME客户端,比如Certbot、acme....
Ubuntu 14.04上自签名SSL证书配置nginx简易脚本
但出于测试或内部使用目的,我们也可以生成自签名的SSL证书。自签名证书不需要证书颁发机构的验证,因此它们不会被浏览器或操作系统信任。在生产环境中,推荐使用由知名CA机构签发的证书。 ### 在Ubuntu 14.04上...
搭建ssl双向验证python
平凡者的专栏
07-06 974
【代码】搭建ssl双向验证python。
Python SSL证书验证问题解决方案
01-20
这篇文章主要介绍了Python SSL证书验证问题解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 一、SSL问题 1、在你不启用fiddler时,python代码直接发送https请求,不会有SSL问题(也就是说不想看到SSL问题,关掉fiddler就行) 2.启用fiddler会报出以下错误: raise SSLError(e, request=request) requests.exceptions.SSLError: HTTPSConnectionPool(host='163.com', port=443): Max retr
使用Python的requests库发送HTTPS请求时的SSL证书验证问题
Dxy1239310216的博客
07-18 6035
2、CA证书根目录缺失:如果您使用的是自签名证书或者是不受常规CA(Certificate Authority)信任的证书,requests库会抛出requests.exceptions.SSLError异常。在这种情况下,您需要确保服务端的SSL证书是有效的,并且在客户端进行验证。此时,您可以尝试在代理服务器上禁用SSL证书验证,或者在requests库中设置verify=False参数来跳过验证。请注意,在安全的生产环境中,强烈建议启用SSL证书验证,以确保通信的安全性。
生成自签ssl证书
热门推荐
kali_yao的博客
10-18 1万+
一.手动生成单个ssl证书 1.创建CA和申请证书 使用openssl工具创建CA证书和申请证书时,需要先查看配置文件,因为配置文件中对证书的名称和存放位置等相关信息都做了定义,具体可参考/etc/pki/tls/openssl.cnf文件。 [root@VM-0-114-centos ~]# vim /etc/pki/tls/openssl.cnf #################################################################### [ ..
Python关于SSL验证问题
a1991520823的专栏
04-28 311
Python关于SSL验证问题 https://cloud.tencent.com/act/cps/redirect?redirect=31&cps_key=6952b221f5c1294d376262dfc91bc36b&from=console
一键生成ssl自签名证书脚本
Csdn129341的博客
04-08 1609
#!/bin/bash -e # * 为必改项 # * 更换为你自己的域名 CN='' # 例如: demo.rancher.com # 扩展信任IP或域名 ## 一般ssl证书只信任域名的访问请求,有时候需要使用ip去访问server,那么需要给ssl证书添加扩展IP, ## 多个IP用逗号隔开。如果想多个域名访问,则添加扩展域名(SSL_DNS),多个SSL_...
OpenSSL-基于IP或域名生成自签名证书脚本
念舒C.ying
05-15 3893
创建自签名证书,在执行此命令时,您可以使用-days选项来指定证书的有效期。在上述示例中,证书的有效期为10年(3650天)。如果您想要更长期的有效期,可以将该值增加
ssl双向认证 -- openssl生成证书
weixin_42497363的博客
10-27 1469
ssl双向认证--openssl生成证书
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值