本文主要是介绍Linux自建CA并颁发证书的shell脚本,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
创建私有CA
- 创建CA所需要的文件
#生成证书索引数据库文件
touch /etc/pki/CA/index.txt
#指定第一个颁发证书的序列号
echo 01 > /etc/pki/CA/serial
- 生成CA私钥
cd /etc/pki/CA/
(umask 066; openssl genrsa -out private/cakey.pem 2048)
- 生成CA自签名证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
- 选项说明
-new:生成新证书签署请求
-x509:专用于CA生成自签证书
-key:生成请求时用到的私钥文件
-days n:证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径
- 为特定APP项目或网站生成自签名证书
openssl req -utf8 -newkey rsa:1024 -subj "/CN=www.sunmy.pro" -keyout sunapp.key -nodes -x509 -out sunapp.crt
- 查看生成的证书内容
openssl x509 -in sunapp.crt -noout -text
申请证书并颁发证书
- 为需要使用证书的主机生成生成私钥
(umask 066; openssl genrsa -out /data/test.key 2048)
- 为需要使用证书的主机生成证书申请文件
openssl req -new -key /data/test.key -out /data/test.csr
- 在CA签署证书并将证书颁发给请求者
- 要求 国家,省,公司名称三项必须和CA一致
openssl ca -in /data/test.csr -out /etc/pki/CA/certs/test.crt -days 100
- 查看证书中的信息:
openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|issuer|subject|serial|dates
#查看指定编号SERIAL的证书状态
openssl ca -status SERIAL
吊销证书
- 一个项目下线了,就可以将其证书进行吊销处理
- 在客户端获取要吊销的证书的编号serial
openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject
- 第一次更新证书吊销列表前,指定第一个吊销证书的编号,曾经做过无需再做
echo 01 > /etc/pki/CA/crlnumber
- 核验并执行吊销证书
- 在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致
openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
- 更新证书吊销列表
openssl ca -gencrl -out /etc/pki/CA/crl.pem
- 查看crl文件
openssl crl -in /etc/pki/CA/crl.pem -noout -text
自动创建CA并为用户颁发证书的小shell脚本
- 这个脚本并不完善,一次只能为一个用户创建证书,
- 需要将创建证书的地方改成读取输入的值,然后灵活的为输入的域名创建证书才行啊!
#!/bin/bash
# 2021-09-09
SUBJ_CA="/C=CN/ST=BJ/L=BJ/O=SunMY/OU=Linux/CN=ca.sunmy.pro/emailAddress=root@sunmy.pro"
SUBJ_MA="/C=CN/ST=BJ/L=BJ/O=SunMY/OU=Linux/CN=www.sunmy.pro/emailAddress=master@sunmy.pro"DIR=/etc/pki/CAcreate_rootCA(){[ -d ${DIR} ] || mkdir -p $DIR/{certs,crl,private,newcerts} &> /dev/null[ -e ${DIR}/index.txt ] || touch $DIR/index.txt[ -e ${DIR}/serial ] || echo 01 > $DIR/serial[ -e ${DIR}/cacert.pem ] || openssl req -x509 \-newkey rsa:2048 \-subj ${SUBJ_CA} \-keyout ${DIR}/private/cakey.pem \-nodes \-days 3650 \-out ${DIR}/cacert.pem
}create_CA(){openssl req -newkey rsa:2048 \-subj ${SUBJ_MA} \-nodes \-keyout master.key \-out master.csropenssl x509 -req -in master.csr \-CA ${DIR}/cacert.pem \-CAcreateserial \-CAkey ${DIR}/private/cakey.pem \-days 365 \-out master.crt
}caRevoke(){[ -e ${DIR}/crlnumber ] || echo 01 > ${DIR}/crlnumberopenssl ca -revoke ${DIR}/newcerts/$1openssl ca -grencrl -out ${DIR}/crl.pem
}PS3="请选择(1-4):"
MENU="
创建自签名CA证书
为用户签发证书
证书吊销
退出
"
select menu in $MENU;do
case $REPLY in
1)create_rootCA;;
2)create_CA;;
3)read -p "请输入要吊销的证书:" CERTcaRevoke $CERT;;
4)break;;
*)echo "输入错误,请重新输入!";;
esac
done
这篇关于Linux自建CA并颁发证书的shell脚本的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
