使用shell脚本生成自签名证书

前言

在不同项目环境配置内部https服务的时候需要使用不同的证书,为了简化生成证书时手动执行命令的繁琐,写了一个shell脚本来生成证书文件。

脚本说明

shell脚本使用说明

shell脚本的使用说明如下:

  • 脚本中使用openssl命令生成证书,执行前需要保证openssl命令可用。
  • 脚本在centos 7和ubuntu 16.04中已经验证通过;在windows中的git bash里无法正确执行,不要在windows上的git bash里面执行脚本。
  • 脚本命令格式如下:
./gen-cert.sh -a 算法 -d 域名 -n 证书文件名
  • 脚本中的参数说明:
    • -a 生成的证书中使用的算法,有rsa和ecc两种选项,rsa会生成2048位的key,ecc生成prime256v1的key;
    • -d 证书中的域名,可以支持写多个域名,多个域名使用逗号分隔。第一个域名会作为CN(common name),这个参数里面所有的域名会写入证书的SAN(通过这可以一个证书支持多个不同域名)。
    • -n 生成的服务器证书文件名。脚本生成的证书文件都放在certs目录下,如果目录下已经存在同名的证书文件则会跳过。第二次执行脚本时,如果-n参数指定为与第一次不同的名称,则会使用第一次生成的CA证书签发新的服务器证书。
    • -h 查看脚本帮助。

shell脚本内容

shell脚本的内容如下:

#!/bin/bash

usage()  
{  
    echo "Usage: $0 [-a [rsa|ecc]] [-d <domain>] [-n <name>] [-h]"  
    echo "  Options:"
    echo "    -a  algorithm.[rsa|ecc]"
    echo "    -d  domain.example: xxx.com,abc.org,*.abc.org"
    echo "    -n  server key name"   
    echo "    -h  help"  
    exit 1  
} 

srv_key_name="server"

while getopts "a:d:n:h" arg #选项后面的冒号表示该选项需要参数
do
    case $arg in
        a)
            alg=$OPTARG #算法
            ;;
        d)
            all_domain=$OPTARG #域名,逗号分隔
            ;;
        n)
            srv_key_name=$OPTARG #服务器证书名称
            ;;
        h)
            usage
            exit 0
            ;;
        ?)  #当有不认识的选项的时候arg为?
            usage
            exit 1
            ;;
    esac
done

domain="domain.com"
san="DNS:*.${domain},DNS:${domain}"
if [ -n "${all_domain}" ]; then
    #分割域名
    OLD_IFS="$IFS"  
    IFS="," 
    domain_array=($all_domain)
    IFS="$OLD_IFS"  

    domain_len=${#domain_array[@]} 
      
    domain=${domain_array[0]}
    san=""
    for ((i=0;i<domain_len;i++))
   {
    if [ $i = 0 ];then
        san="DNS:${domain_array[i]}"
    else
        san="${san},DNS:${domain_array[i]}"
    fi
   }
fi

ca_subj="/C=CN/ST=Hubei/L=Wuhan/O=MY/CN=MY CA"
server_subj="/C=CN/ST=Hubei/L=Wuhan/O=MY/CN=${domain}"
#其中C是Country,ST是state,L是local,O是Organization,OU是Organization Unit,CN是common name
days=14610 # 有效期40年
echo "san:${san}"

sdir="certs"
ca_key_file="${sdir}/ca.key"
ca_crt_file="${sdir}/ca.crt"
srv_key_file="${sdir}/${srv_key_name}.key"
srv_csr_file="${sdir}/${srv_key_name}.csr"
srv_crt_file="${sdir}/${srv_key_name}.crt"
srv_p12_file="${sdir}/${srv_key_name}.p12"
srv_fullchain_file="${sdir}/${srv_key_name}-fullchain.crt"
cfg_san_file="${sdir}/san.cnf"


#algorithm config
if [[ ${alg} = "rsa" ]] ; then
    rsa_len=2048
elif [[ ${alg} = "ecc" ]] ; then
    ecc_name=prime256v1
else 
    usage 
    exit 1
fi     #ifend

echo "algorithm:${alg}"

mkdir -p ${sdir}

if [ ! -f "${ca_key_file}" ]; then
    echo  "------------- gen ca key-----------------------"
    if [[ ${alg} = "rsa" ]] ; then
        openssl genrsa -out ${ca_key_file} ${rsa_len}
    elif [[ ${alg} = "ecc" ]] ; then
        openssl ecparam -out ${ca_key_file} -name ${ecc_name} -genkey
    fi     #ifend

    openssl req -new -x509 -days ${days} -key ${ca_key_file} -out ${ca_crt_file} -subj "${ca_subj}"
fi


if [ ! -f "${srv_key_file}" ]; then
    echo  "------------- gen server key-----------------------"
    if [[ ${alg} = "rsa" ]] ; then
        openssl genrsa -out ${srv_key_file} ${rsa_len}
    elif [[ ${alg} = "ecc" ]] ; then
        openssl ecparam -genkey -name ${ecc_name} -out ${srv_key_file}
    fi     #ifend

    openssl req -new  -sha256 -key ${srv_key_file} -out ${srv_csr_file} -subj "${server_subj}"

    printf "[ SAN ]\nauthorityKeyIdentifier=keyid,issuer\nbasicConstraints=CA:FALSE\nkeyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment\nsubjectAltName=${san}" > ${cfg_san_file}
    openssl x509 -req  -days ${days} -sha256 -CA ${ca_crt_file} -CAkey ${ca_key_file} -CAcreateserial -in ${srv_csr_file}  -out ${srv_crt_file} -extfile ${cfg_san_file} -extensions SAN
    cat ${srv_crt_file} ${ca_crt_file} > ${srv_fullchain_file}

    openssl pkcs12 -export -inkey ${srv_key_file} -in ${srv_crt_file} -CAfile ${ca_crt_file} -chain -out ${srv_p12_file}
fi

脚本执行示例

  1. 执行命令下面命令生成证书,生成pkcs12格式证书过程中会提示输入证书密码,请保持两次输入一致。虽然输入密码时可以直接回车设为空,由于某些使用证书的场景必须要密码,所以最好设置一个密码。生成的文件中ca.crt与ca.key为CA证书的公钥与私钥;test.crt与test.key为服务器证书的公钥与私钥;test.p12为pkcs12格式的文件,包含了公私钥。
./gen-cert.sh -a ecc -d test.com,a.com,*.a.com -n test
生成证书
  1. 生成的服务器证书中“颁发给”为test.com,即-d参数中指定的第一个域名。
证书信息-常规
  1. 签名算法采用的ECC算法。
证书信息-详细信息-算法
  1. 使用者可选名称包含了-d参数中指定的所有域名。
证书信息-详细信息-SAN

推荐阅读更多精彩内容

  • 1 概述 本文之所以称之为半自动化,是因为证书的申请并非日常工作,只是一段时间才需要申请,同时,在创建证书和办法证...
    ghbsunny阅读 1,459评论 0 1
  • 官网 中文版本 好的网站 Content-type: text/htmlBASH Section: User ...
    不排版阅读 3,192评论 0 5
  • 第 2 章 SHELL 基础知识2.1 shell脚本我们在上面简单介绍了一下什么是shell脚本,现在我们来进一...
    LiWei_9e4b阅读 885评论 0 0
  • 写这篇文章的起因是遇到了需要本机配置支持HTTPS协议的情况。 我们知道,因为HTTPS的安全性,越来越多的网络应...
    Jason_M_Ho阅读 8,959评论 1 8
  • 神秘的心理咨询师平时的工作是什么呢?今天根据所学的知识做个总结和搬运。 服务的对象 主要有三大类: 1、精神正常,...
    京珂大师姐阅读 399评论 2 6