https客户端证书安装及更新,脚本实现(批量)

最新推荐文章于 2025-12-10 19:57:01 发布
原创 最新推荐文章于 2025-12-10 19:57:01 发布 · 25 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#https #网络协议 #http

背景:

          系统迁移,提供的接口服务地址较多,上百个,都需要安装https证书,若还通过之前博客提到的脚本实现https客户端证书安装及更新,脚本实现,虽比人工快,但还是比较耗时。

处理方式:

        优化脚本,通过引入一个专门存储域名列表的文件,优化脚本的逻辑,实现快速安装,功能和之前的一样,没有就安装,存在就更新。

实现方法:

 1、编写一个专门存储域名列表的文件domains.txt,内容如下,注意每行一个,端口号默认443,如需更改,则域名:端口

2、再创建一个脚本文件batch_install_ssl.sh

#!/bin/bash

# --- 全局变量 ---
DOMAIN_LIST=""
JAVAHOME=""
KEYSTOREPASSWORD=""
KEYSTORE_PATH=""

# --- 用法说明 ---
usage() {
    echo "用法: $0 <域名列表文件> [Javahome] [keystorepassword]"
    echo "示例: $0 domains.txt /usr/lib/jvm/java-11-openjdk-amd64 MyKeystorePassword"
    exit 1
}

# --- 初始化和环境检查 ---
initialize() {
    # 检查参数数量
    if [ $# -lt 1 ]; then
        usage
    fi

    DOMAIN_LIST=$1
    JAVAHOME=${2:-${JAVA_HOME}}
    KEYSTOREPASSWORD=${3:-"changeit"}

    # 检查域名列表文件是否存在
    if [ ! -f "$DOMAIN_LIST" ]; then
        echo "错误: 域名列表文件 $DOMAIN_LIST 不存在!"
        exit 1
    fi

    # 检查 Java 安装目录是否存在
    if [ ! -d "$JAVAHOME" ]; then
        echo "错误: Java 安装目录 $JAVAHOME 不存在!"
        exit 1
    fi

    # 检查 keytool 是否可用
    if ! command -v keytool &> /dev/null; then
        echo "错误: keytool 未找到,请确保 Java 已正确安装并已配置 PATH"
        exit 1
    fi

    # 检查 openssl 是否可用
    if ! command -v openssl &> /dev/null; then
        echo "错误: openssl 未找到,请安装 openssl 工具"
        exit 1
    fi

    # 检测并设置 Keystore 路径
    detect_keystore_path
}

# --- 检测 keystore 文件的真实路径 ---
detect_keystore_path() {
    echo "正在检测 Java Keystore (cacerts) 的路径..."

    # 定义一个可能路径的数组,按常见程度排序
    POSSIBLE_PATHS=(
        "${JAVAHOME}/lib/security/cacerts"           # JDK 9+ (OpenJDK/Oracle)
        "${JAVAHOME}/jre/lib/security/cacerts"       # JDK 8 (Oracle/一些OpenJDK)
        "${JAVAHOME}/lib/security/jssecacerts"       # 备用文件名
    )

    for path in "${POSSIBLE_PATHS[@]}"; do
        if [ -f "$path" ]; then
            KEYSTORE_PATH="$path"
            echo "找到 Keystore 文件: $KEYSTORE_PATH"
            return
        fi
    done

    # 如果循环结束仍未找到文件
    echo "错误: 在 $JAVAHOME 目录下未找到 cacerts 文件!"
    echo "请检查您的 Java 安装是否完整,或手动指定 JAVA_HOME。"
    echo "已搜索的路径包括:"
    printf '  %s\n' "${POSSIBLE_PATHS[@]}"
    exit 1
}

# --- 处理单个域名的函数 ---
process_domain() {
    local DOMAIN_ENTRY=$1
    local DOMAIN=""
    local PORT=""

    echo "========================================"
    echo "正在处理域名条目: $DOMAIN_ENTRY"
    echo "========================================"

    # 智能分割域名和端口
    IFS=':' read -r DOMAIN PORT <<< "$DOMAIN_ENTRY"
    PORT=${PORT:-443} # 如果端口为空,则默认为 443

    if [ -z "$DOMAIN" ]; then
        echo "警告: 跳过无效的空域名条目。"
        return
    fi

    # 创建临时目录
    TEMP_DIR=$(mktemp -d)
    CERT_FILE="$TEMP_DIR/${DOMAIN}.crt"
    # 使用不带端口的域名作为 alias
    ALIAS="$DOMAIN"

    # 下载证书
    echo "正在从 $DOMAIN:$PORT 下载 SSL 证书..."
    if ! openssl s_client -showcerts -connect "$DOMAIN:$PORT" -servername "$DOMAIN" </dev/null 2>/dev/null | openssl x509 -outform PEM > "$CERT_FILE"; then
        echo "错误: 下载证书失败,请检查域名和端口是否可达。"
        rm -rf "$TEMP_DIR"
        return 1
    fi

    # 检查证书有效期
    echo "正在检查证书有效期..."
    expiry_date=$(openssl x509 -in "$CERT_FILE" -noout -enddate | cut -d= -f2)
    expiry_timestamp=$(date -d "$expiry_date" +%s)
    current_timestamp=$(date +%s)
    days_left=$(( (expiry_timestamp - current_timestamp) / 86400 ))

    if [ $days_left -le 0 ]; then
        echo "警告: 证书已过期!"
    elif [ $days_left -le 30 ]; then
        echo "警告: 证书将在 $days_left 天后过期,将强制更新。"
    else
        echo "证书有效,剩余 $days_left 天。"
    fi

    # 检查证书是否已存在于 Keystore 中
    if keytool -list -keystore "$KEYSTORE_PATH" -storepass "$KEYSTOREPASSWORD" -alias "$ALIAS" &> /dev/null; then
        echo "证书别名 '$ALIAS' 已存在,正在删除旧证书..."
        keytool -delete -alias "$ALIAS" -keystore "$KEYSTORE_PATH" -storepass "$KEYSTOREPASSWORD" -noprompt
    fi

    # 安装证书到 Java 信任库
    echo "正在安装证书到 Java 信任库 (别名: $ALIAS)..."
    if keytool -importcert -alias "$ALIAS" -file "$CERT_FILE" -keystore "$KEYSTORE_PATH" \
        -storepass "$KEYSTOREPASSWORD" -noprompt; then
        echo "证书安装成功!"
    else
        echo "错误: 安装证书失败!"
        rm -rf "$TEMP_DIR"
        return 1
    fi

    # 清理临时文件
    rm -rf "$TEMP_DIR"
    echo "域名 $DOMAIN_ENTRY 处理完成!"
    return 0
}

# --- 主程序 ---
main() {
    initialize "$@"

    echo "开始批量处理域名列表: $DOMAIN_LIST"
    echo "Java Home: $JAVAHOME"
    echo "Keystore: $KEYSTORE_PATH"
    echo "------------------------------------------------"

    success_count=0
    failure_count=0

    # 逐行读取域名列表文件
    while IFS= read -r DOMAIN_ENTRY || [[ -n "$DOMAIN_ENTRY" ]]; do
        # 跳过空行和以 # 开头的注释行
        if [[ -z "$DOMAIN_ENTRY" || "$DOMAIN_ENTRY" == \#* ]]; then
            continue
        fi

        if process_domain "$DOMAIN_ENTRY"; then
            ((success_count++))
        else
            ((failure_count++))
        fi
        echo "------------------------------------------------"
    done < "$DOMAIN_LIST"

    echo "所有域名处理完成!"
    echo "成功: $success_count, 失败: $failure_count"
}

# --- 脚本入口 ---
main "$@"

3、执行

证书到用户映射:SAP Gateway 的 X.509 客户端证书认证全流程实战
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
11-20 31
本文为企业级环境中SAP Gateway实现X.509客户端证书认证提供完整指南。从架构设计到具体实施,详细讲解ICM/ICF配置、STRUST证书管理、USREXTID用户映射等关键环节。重点包括:全局verify_client参数设置、端口级VCLIENT控制、ICF服务强制证书认证配置、证书信任链维护策略,以及批量用户映射的最佳实践。通过真实案例展示如何将移动设备证书无缝集成到SAP Gateway,实现无口令强认证。全文提供可直接落地的配置脚本和排障建议,帮助企业构建安全可靠的证书认证体系。
https客户端证书导入
weixin_34122548的博客
04-15 1289
摘 要JSSE是一个SSL和TLS的纯Java实现,通过JSSE...
SSL双向认证以及证书的制作和使用
weixin_30500473的博客
10-26 2872
客户端认证服务器: 正规的做法是:到国际知名的证书颁发机构,如VeriSign申请一本服务器证书,比如支付宝的首页,点击小锁的图标,可以看到支付宝是通过VeriSign认证颁发的服务器证书: 我们用的操作系统(windows, linux, unix ,android, ios等)都预置了很多信任的根证书,比如我的windows中就包含VeriSign的根证书,那么浏览器访问服务...
Https证书怎么安装
缘 源 园
04-15 2107
第一步:首先我们去阿里云申请证书证书审核完成下载进行部署。至于部署什么类型的,需要跟服务器商确认。 第二步:去服务器端找到SSL部署的配置。 下载申请下来的密钥。填入对应的账户, 完成!提示已部署 ...
终极指南:如何用Lego ACME客户端实现自定义DNS更新脚本
gitblog_00402的博客
11-19 819
Lego是一个用Go语言编写的Let's Encrypt/ACME客户端和库,它提供了强大的SSL/TLS证书自动化管理功能。对于需要完全控制DNS记录更新的用户来说,Lego的DNS挑战外部程序钩子功能是完美的解决方案。😊 ## 什么是DNS挑战外部程序钩子? DNS挑战是获取SSL证书的常见方法,但许多DNS提供商没有官方的Lego支持。这时,**自定义DNS更新脚本**就派上了用场!L
bat批处理静默自动安装证书
热门推荐
Keep Moving~
12-20 1万+
针对该问题,微软有一个名为Certmgr.exe的证书管理器工具可以实现此目标,该工具主要用于管理证书证书信任列表 (CTL)证书吊销列表 (CRL), 具体参数的示例请参考: http://msdn.microsoft.com/zh-cn/library/e78byta0(VS.80).aspx。 该工具是SDK Tool的一部分,您可以下载最新的Windows SDK发行版获得此工具;若...
Dehydrated架构解析:理解Shell脚本实现的ACME客户端
gitblog_00311的博客
11-29 797
Dehydrated是一个用Shell脚本实现的ACME客户端,专门用于与Let's Encrypt等证书颁发机构交互,自动化获取和管理SSL/TLS证书。这款轻量级工具的核心设计理念是"just add water"——只需简单配置即可快速部署,让HTTPS证书管理变得异常简单。🚀 ## 🔍 什么是ACME协议和Dehydrated? ACME(Automated Certificate
锐捷Mac版客户端安装与使用指南
weixin_30248619的博客
07-21 1159
锐捷网络技术有限公司作为IT行业内的知名厂商,为用户提供了多样化、便捷的网络接入解决方案。本章将对锐捷Mac版客户端进行概述,帮助读者快速了解该客户端的特性和应用价值。锐捷Mac版客户端是一款专门针对苹果Mac操作系统设计的网络认证工具。它能够让用户通过图形化界面方便快捷地连接到各类网络,并且支持多种认证方式,如Web认证、802.1x认证等。其目的在于简化用户操作,提高网络接入的安全性和稳定性。通过本章的介绍,我们已经对锐捷Mac版客户端有了初步的认识。
分享学习一个“批量修改密码”的shell脚本
Sakura_QKS的博客
12-14 890
批量修改密码脚本;sshpass;awk;action;openssl
批量申请大量SSL证书:最具性价比方案
osfipin note
10-08 358
摘要:针对多域名管理的成本问题,推荐采用"自动化+免费证书+集中管理"方案。核心使用lcjmSSL等ACME协议工具实现零成本证书申请,支持批量处理(单证最多100域名),特别适合拥有大量子域、测试环境等场景。关键技术包括DNS验证(推荐)和HTTP验证,其中DNS验证通过API自动操作TXT记录,无需接触服务器即可完成泛域名证书申请。备选方案acme.sh以其轻量、零依赖特性成为理想选择。该方案显著降低管理复杂度,实现全自动续期部署。(149字)
Linux服务器运维_Shell脚本批处理_SSH密钥管理_SSL证书生成_密码批量修改_自定义命令执行_进程监控部署_Aleo服务安装_多服务器批量操作_非专业运维人员工具集_简.zip
05-25
Linux服务器运维涉及的范围广泛,本文将从几个关键部分深入解析,包括Shell脚本批处理、SSH密钥管理、SSL证书生成、密码批量修改、自定义命令执行、进程监控部署、Aleo服务安装和多服务器批量操作。 Shell脚本...
FileZilla客户端安装配置教程以及使用教程(超级详细)
m0_57545130的博客
10-09 2042
FileZilla是一款免费开源的FTP客户端,支持FTP、FTPS和SFTP协议,适用于多平台。本文详细介绍了FileZilla的安装(Windows、macOS、Linux)、配置(站点管理、安全设置)和使用方法(文件传输、同步浏览、权限管理等)。教程包含常见问题解决方案(如连接超时、中文乱码)和高级技巧(自动化脚本、性能优化)。通过站点管理器可保存服务器信息,全局设置可优化传输效率,界面直观适合各类用户。
基于OpenSSL的自签名证书管理脚本,支持Nginx与客户端认证
一旦某个客户端证书泄露或员工离职,管理员可通过脚本执行撤销操作,系统将更新 `index.txt` 中的状态标记,并重新生成最新的 CRL 文件(`crl.pem`)。Nginx 可周期性加载该文件,实时拒绝已被吊销证书的访问请求,...
Linux环境下批量生成证书的Shell脚本指南
在Linux环境下,为了实现C/S模型中对客户端证书的自动批量生成,可以编写Shell脚本利用OpenSSL命令行工具。本知识点将会详细介绍如何在没有其他额外工具的情况下,使用Shell脚本和OpenSSL生成CA证书、Server证书和...
《DNS解析+HTTPS配置:网站加密访问从0到1深度解析》
xy520521的博客
12-07 728
本文聚焦HTTPS配置与DNS解析的协同逻辑,拆解二者从基础部署到进阶优化的全流程实践。文章指出,DNS解析需根据服务器部署模式选择A记录或CNAME记录,通过动态调整TTL值、开启DNSSEC与多线路解析,提升解析精准度与稳定性;HTTPS配置核心在于构建加密信任体系,需按场景选型证书,保障证书链完整,优化加密套件并做好生命周期管理。二者协同可通过配置HSTS记录、结合CDN实现全链路加密与加速。
第六篇 HttpServletRequest对象
最新发布
m0_66130067的博客
12-10 381
摘要:HttpServletRequest和HttpServletResponse是Java Servlet API中的核心接口,分别处理客户端请求和服务器响应。HttpServletRequest提供获取请求参数、头信息、路径等方法;HttpServletResponse用于设置状态码、响应头和输出内容。HttpSession则用于会话管理,支持跨请求数据共享。三者配合实现完整的HTTP请求-响应流程,需注意线程安全、编码设置和会话管理等问题。合理使用这些接口能有效开发Web应用,但要注意性能优化和安全防
HTTPS Everywhere 时代的抓包挑战,从加密流量解析到底层数据流捕获的全流程方案
2501_91373349的博客
12-05 846
本文解析 HTTPS Everywhere 环境下 HTTPS 抓包困难的根本原因,并介绍如何通过代理层、协议层与底层数据流捕获层协同分析。文中说明抓包大师(Sniffmaster)如何用于捕获 HTTPS/TCP/UDP 数据流、按应用过滤并导出 pcap,处理代理无法抓包的场景
Cobalt Strike横向渗透之Https Beacon实战1(跳板机Linux)
mooyuan的网络安全博客
12-05 1145
《基于Linux跳板机的HTTPS Beacon内网渗透实战》 本文详细介绍了在内网渗透中,当跳板机为Linux系统时,如何通过Cobalt Strike生成HTTPS Beacon文件并实现横向渗透的过程。主要内容包括:Linux平台Beacon生成工具genCrossC2的安装配置、Cobalt Strike服务端和客户端的部署、HTTPS监听器的设置。本篇通过完整的实战演示,展示了从Linux https Beacon生成、监听器配置到跳板机主机上线的完整流程。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值