https客户端证书安装及更新,脚本实现

于 2025-07-22 11:02:54 发布
阅读量151 收藏 1
点赞数 3
CC 4.0 BY-SA版权
分类专栏: #网络安全 运维 文章标签: https 服务器 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xdmxmf0/article/details/149509794

背景:

        目前系统之间的数据交互通过接口实现,配置的地址都是https的,SSL加密认证,增强安全感,但是如果客户端不安装证书的话就会报错,导致失败。证书过期也不知道,后期再排查安装,费时间。

处理方式:

        之前文章提到的,安装对应系统的https证书到使用的JDK环境上。但是后期安装的多了,频次高了,每次都手动安装,费事。所以就编写了脚本实现快速安装。

实现方法:

编写相关脚本文件:install_ssl_certs.sh

#!/bin/bash

source /etc/profile
source ~/.bash_profile

# 用法说明
usage() {
    echo "用法: $0 <域名> [Javahome] [keystorepassword]"
    echo "示例: $0 example.com /usr/lib/jvm/java-11-openjdk-amd64 MyKeystorePassword"
    exit 1
}

# 检查参数数量
if [ $# -lt 1 ]; then
    usage
fi

DOMAIN=$1
JAVAHOME=${2:-${JAVA_HOME}}
#JAVA_HOME="${JAVA_HOME:-${JAVA_HOME}}"
KEYSTOREPASSWORD=${3:-"changeit"}

# 检查 Java 安装目录是否存在
if [ ! -d "$JAVAHOME" ]; then
    echo "错误: Java 安装目录 $JAVAHOME 不存在!"
    exit 1
fi

# 检查 keytool 是否可用
if ! command -v keytool &> /dev/null; then
    echo "错误: keytool 未找到,请确保 Java 已正确安装"
    exit 1
fi

# 检查 openssl 是否可用
if ! command -v openssl &> /dev/null; then
    echo "错误: openssl 未找到,请安装 openssl 工具"
    exit 1
fi

# 创建临时目录
TEMP_DIR=$(mktemp -d)
CERT_FILE="$TEMP_DIR/$DOMAIN.crt"
CA_FILE="$TEMP_DIR/$DOMAIN.ca-bundle"
KEY_FILE="$TEMP_DIR/$DOMAIN.key"
KEYSTORE_PATH="$JAVAHOME/jre/lib/security/cacerts"

# 下载证书
download_certificate() {
    echo "正在下载 $DOMAIN 的 SSL 证书..."
    openssl s_client -showcerts -connect $DOMAIN:443 -servername $DOMAIN </dev/null | \
    openssl x509 -outform PEM > "$CERT_FILE"
    
    if [ ! -f "$CERT_FILE" ]; then
        echo "错误: 下载证书失败"
        exit 1
    fi
}

# 安装证书到 Java 信任库
install_certificate() {
    echo "正在安装证书到 Java 信任库..."
    keytool -importcert -alias $DOMAIN -file "$CERT_FILE" -keystore "$KEYSTORE_PATH" \
    -storepass "$KEYSTOREPASSWORD" -noprompt
    
    if [ $? -ne 0 ]; then
        echo "错误: 安装证书失败"
        exit 1
    fi
}

# 检查证书有效期
check_certificate_expiry() {
    echo "正在检查证书有效期..."
    expiry_date=$(openssl x509 -in "$CERT_FILE" -noout -enddate | cut -d= -f2)
    expiry_timestamp=$(date -d "$expiry_date" +%s)
    current_timestamp=$(date +%s)
    days_left=$(( (expiry_timestamp - current_timestamp) / 86400 ))
    
    if [ $days_left -le 0 ]; then
        echo "警告: 证书已过期!"
        return 1
    elif [ $days_left -le 30 ]; then
        echo "警告: 证书将在 $days_left 天后过期!"
        return 0
    else
        echo "证书有效,剩余 $days_left 天"
        return 0
    fi
}

# 更新过期证书
update_expired_certificate() {
    echo "正在更新过期证书..."
    keytool -delete -alias $DOMAIN -keystore "$KEYSTORE_PATH" -storepass "$KEYSTOREPASSWORD"
    install_certificate
}

# 主程序
download_certificate

# 检查证书是否已存在
if keytool -list -keystore "$KEYSTORE_PATH" -storepass "$KEYSTOREPASSWORD" | grep -q "$DOMAIN"; then
    echo "证书已存在,正在检查有效期..."
    check_certificate_expiry
    if [ $? -ne 0 ]; then
        update_expired_certificate
    fi
else
    echo "证书不存在,正在安装..."
    install_certificate
fi

# 清理临时文件
rm -rf "$TEMP_DIR"
echo "操作完成!"

使用方法:

./install_ssl_certs.sh <域名> [Javahome] [keystorepassword]

<域名>  必填

[Javahome] 代码有默认的  可以根据实际填写

[keystorepassword] 密码  默认:changeit

1、若没有安装过,则安装

    2、若安装过,则覆盖安装。适用场景:过期证书的替换

根据之前的脚本,查询到已过期的

覆盖安装:

    

linux服务器怎么安装证书,linux服务器证书安装指引
weixin_39567870的博客
04-28 4902
下面提供了3类服务器证书安装方法的示例:1. Apache 2.x 证书部署1.1 获取证书Apache文件夹内获得证书文件 1_root_bundle.crt,2_www.domain.com_cert.crt 和私钥文件 3_www.domain.com.key,1_root_bundle.crt 文件包括一段证书代码 “-----BEGIN CERTIFICATE-----”和“-----E...
OpenSSL 自建CA 以及颁发证书(网站部署https&&双向认证)
卷心菜投手
12-03 4756
CA机构是具有权威公信力的第三方安全认证机构,负责数字证书的申请、审核申请人身份、签发证书证书的生命周期管理等工作。作为独立第三方,CA机构为用户提供电子认证服务,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性、信息的不可否认性,从而保障网络应用的可靠性。
Node.js 客户端证书认证教程
gitblog_00436的博客
09-15 632
Node.js 客户端证书认证教程 1. 项目介绍 nodejs-certificate-auth 是一个用于演示如何在 Node.js 中实现客户端证书认证(mTLS,即双向 TLS)的开源项目。该项目通过一个简单的服务器和两个客户端(Alice 和 Bob)展示了如何使用证书进行身份验证,而不是传统的用户名和密码。 该项目的主要目的是帮助开发者理解如何在 Node.js 中配置和使用客户端证书...
https 证书安装指引
lvfl的博客
05-18 2272
转载:https://blog.youkuaiyun.com/huningjun/article/details/78902877 1. Apache 2.x 证书部署 1.1 获取证书 Apache文件夹内获得证书文件 1_root_bundle.crt,2_www.domain.com_cert.crt 和私钥文件 3_www.domain.com.key, 1_root_bundle....
Nginx配置https证书
qq_37705525的博客
04-23 9126
Nginx配置https证书
内网IP地址配置SSL证书实现HTTPS加密访问教程
gao7546276的博客
03-04 730
通过域控推送根证书,域中所有用户自动接收根证书,免去在每个客户端单独导入操作的麻烦。后,需要在服务器(常见类型如Nginx,Apache,Tomcat,IIS等)上完成配置。安装教程类似,我们在前面的教程中也一一介绍过,大家可以参考一下,不过还有一个重要的步骤是进行根证书导入,下面我们将分别介绍。用户可根据自身情况选用导入根证书方案,完成内网IP SSL证书的配置,实现内网环境下传输数据加密和身份认证。6、至此,域中的所有用户都将收到来自域控推送的根证书。2、点击“是”,导入成功,如下图。
bat批处理静默自动安装证书
热门推荐
Keep Moving~
12-20 1万+
针对该问题,微软有一个名为Certmgr.exe的证书管理器工具可以实现此目标,该工具主要用于管理证书证书信任列表 (CTL) 和证书吊销列表 (CRL), 具体参数的示例请参考: http://msdn.microsoft.com/zh-cn/library/e78byta0(VS.80).aspx。 该工具是SDK Tool的一部分,您可以下载最新的Windows SDK发行版获得此工具;若...
一步生成 SSL 证书脚本
早晨阳光一般暖的博客
10-02 957
介绍 一步生成 SSL 证书脚本, 这类博客很多,但没有一个是现成的,所有参考很多博客写了一个脚本,一步到位 一、文件 https_tool.zip 二、注意 工具基于openSSL实现,所以建议在linux系统上运行 三、步骤 解压 执行 命令:./build_ssl.sh [ip/host] [pass(非必须)] #参数1:IP或域名,参数2:密码 例子:./build_ssl.sh 192.168.8.68 结果 提示:temp目录为生成的临时目录,用完可删除
PostgreSQL 客户端安装配置与连接演示
JiekeXu的博客
11-14 2624
作者 | JiekeXu来源 |公众号 JiekeXu DBA之路(ID: JiekeXu_IT)如需转载请联系授权 |(个人微信 ID:JiekeXu_DBA)大家好,我是 JiekeXu,江湖人称“强哥”,荣获 Oracle ACE Pro 称号,墨天轮 MVP,墨天轮年度“墨力之星”,拥有 Oracle OCP/OCM 认证,MySQL 5.7/8.0 OCP 认证以及 PCA、PCT...
nginx双向认证配置及验证-脚本实现制作证书过程及浏览器验证遇到的一些问题解决
u011285281的博客
09-29 2747
nginx实现mTLS双向认证,制作证书的过程,脚本实现制作证书,参数自己更改脚本里的变量
用于生成 WEBSERVICE 使用的数字证书及签署证书 PYTHON 脚本-综合文档
05-25
根据提供的文件名"用于生成WEBSERVICE使用的数字证书及签署证书.PYTHON脚本.pdf"来看,该文档可能包含一个具体的Python代码示例,指导用户如何编写这样一个脚本。 在实际操作中,这个脚本可能包含以下功能: - 用户...
脱水:将letencryptacme客户端实现为shell脚本–只需加水
01-30
标题 "脱水:将Let's Encrypt ACME客户端实现为Shell脚本" 提示我们这个项目是关于使用Shell脚本实现Let's Encrypt的自动化证书获取。Let's Encrypt是一个免费、自动、开源的证书颁发机构(CA),它使用ACME...
acme.sh:实现ACME客户端协议的纯Unix Shell脚本
01-30
**acme.sh** 是一个基于 Unix Shell 脚本实现的 ACME 客户端工具,主要用于自动化获取和管理 Let's Encrypt 以及其他支持 ACME 协议的证书颁发机构(如 ZeroSSL、Buypass)的SSL/TLS证书。ACME(Automatic ...
HTTPS单双向认证图解+自签泛域名证书生成及使用
11-27
双向认证与单向认证类似,但在服务端收到客户端的加密方案后,还会要求客户端提供客户端证书进行身份验证。服务端验证客户端证书的有效性后,才会继续通信。 ### 自签泛域名证书生成及使用 自签泛域名证书是为了在...
自动化脚本实现WinRM客户端证书身份验证
使用此存储库,管理员可以在Windows Server 2012及更高版本上启用WinRM并配置客户端证书认证,以确保远程管理的安全性。脚本和工具被分为三个主要文件夹:client、server和ansible。 在'client'文件夹中,提供了...
http与https的主要区别是什么?
软件行业技术文化交流。
07-18 1424
HTTP(HyperText Transfer Protocol,超文本传输协议)是互联网上应用最为广泛的一种网络协议。它构成了Web数据通信的基础,并定义了客户端服务器之间如何请求和传递网页信息。当您在浏览器中输入一个网址时,浏览器会发送一个HTTP请求到该网址对应的服务器服务器处理这个请求后返回相应的资源(如HTML页面),以及一个状态码来表示请求的结果。
基于 Nginx 搭建 OpenLab 多场景 Web 网站:从基础配置到 HTTPS 加密全流程
最新发布
racwwt的博客
07-21 637
本文以 OpenEuler 22.03 系统为基础,详细介绍了如何使用 Nginx 搭建满足多场景需求的 OpenLab Web 网站。内容涵盖主页面与子页面(学生信息、教学资料、缴费网站)的目录结构设计、用户认证配置、HTTPS 加密实现等核心步骤,重点解决了 "特定用户访问限制" 和 "数据传输加密" 问题。步骤清晰且附带完整命令,适合 Web 服务器初学者或运维入门者参考,通过实操可快速掌握 Nginx 配置与网站安全加固技巧。
https与DNS的运行流程
m0_74978504的博客
07-17 1059
查询本地DNS服务器: 若hosts文件也未提供解析,操作系统将查询请求发送至网络配置中指定的本地DNS服务器(通常由ISP或网络管理员提供)。获取权威域名服务器地址: 顶级DNS服务器查找并返回负责该具体域名的权威域名服务器(Name Server)的地址。查询根DNS服务器: 若本地DNS服务器无缓存记录,它则向根DNS服务器发起查询请求。查询顶级域名服务器: 本地DNS服务器随后向接收到的顶级DNS服务器地址发送查询请求。查询权威域名服务器: 本地DNS服务器接着向权威域名服务器发送查询请求。
Http和Https
A6516565189的博客
07-20 1229
HTTP是客户端与服务端通信的应用层协议,通过请求/响应报文实现数据交互。请求报文包含方法、URL和版本,响应报文包含状态码和原因短语,两者都包含首部字段和可选主体。HTTP默认使用TCP持久连接,通过Cookie解决无状态问题。HTTPS在HTTP基础上通过TLS/SSL加密传输,采用非对称加密交换密钥后转为对称加密通信,并利用SSL证书验证服务器身份。TLS握手过程通过交换随机数和加密套件协商生成会话密钥,确保通信安全性和身份认证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值