Linux自建CA并颁发证书的shell脚本
Posted 白-胖-子
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux自建CA并颁发证书的shell脚本相关的知识,希望对你有一定的参考价值。
创建私有CA
- 创建CA所需要的文件
#生成证书索引数据库文件
touch /etc/pki/CA/index.txt
#指定第一个颁发证书的序列号
echo 01 > /etc/pki/CA/serial
- 生成CA私钥
cd /etc/pki/CA/
(umask 066; openssl genrsa -out private/cakey.pem 2048)
- 生成CA自签名证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
- 选项说明
-new:生成新证书签署请求
-x509:专用于CA生成自签证书
-key:生成请求时用到的私钥文件
-days n:证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径
- 为特定APP项目或网站生成自签名证书
openssl req -utf8 -newkey rsa:1024 -subj "/CN=www.sunmy.pro" -keyout sunapp.key -nodes -x509 -out sunapp.crt
- 查看生成的证书内容
openssl x509 -in sunapp.crt -noout -text
申请证书并颁发证书
- 为需要使用证书的主机生成生成私钥
(umask 066; openssl genrsa -out /data/test.key 2048)
- 为需要使用证书的主机生成证书申请文件
openssl req -new -key /data/test.key -out /data/test.csr
- 在CA签署证书并将证书颁发给请求者
- 要求 国家,省,公司名称三项必须和CA一致
openssl ca -in /data/test.csr -out /etc/pki/CA/certs/test.crt -days 100
- 查看证书中的信息:
openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|issuer|subject|serial|dates
#查看指定编号SERIAL的证书状态
openssl ca -status SERIAL
吊销证书
- 一个项目下线了,就可以将其证书进行吊销处理
- 在客户端获取要吊销的证书的编号serial
openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject
- 第一次更新证书吊销列表前,指定第一个吊销证书的编号,曾经做过无需再做
echo 01 > /etc/pki/CA/crlnumber
- 核验并执行吊销证书
- 在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致
openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
- 更新证书吊销列表
openssl ca -gencrl -out /etc/pki/CA/crl.pem
- 查看crl文件
openssl crl -in /etc/pki/CA/crl.pem -noout -text
自动创建CA并为用户颁发证书的小shell脚本
- 这个脚本并不完善,一次只能为一个用户创建证书,
- 需要将创建证书的地方改成读取输入的值,然后灵活的为输入的域名创建证书才行啊!
#!/bin/bash
# 2021-09-09
SUBJ_CA="/C=CN/ST=BJ/L=BJ/O=SunMY/OU=Linux/CN=ca.sunmy.pro/emailAddress=root@sunmy.pro"
SUBJ_MA="/C=CN/ST=BJ/L=BJ/O=SunMY/OU=Linux/CN=www.sunmy.pro/emailAddress=master@sunmy.pro"
DIR=/etc/pki/CA
create_rootCA(){
[ -d ${DIR} ] || mkdir -p $DIR/{certs,crl,private,newcerts} &> /dev/null
[ -e ${DIR}/index.txt ] || touch $DIR/index.txt
[ -e ${DIR}/serial ] || echo 01 > $DIR/serial
[ -e ${DIR}/cacert.pem ] || openssl req -x509 \\
-newkey rsa:2048 \\
-subj ${SUBJ_CA} \\
-keyout ${DIR}/private/cakey.pem \\
-nodes \\
-days 3650 \\
-out ${DIR}/cacert.pem
}
create_CA(){
openssl req -newkey rsa:2048 \\
-subj ${SUBJ_MA} \\
-nodes \\
-keyout master.key \\
-out master.csr
openssl x509 -req -in master.csr \\
-CA ${DIR}/cacert.pem \\
-CAcreateserial \\
-CAkey ${DIR}/private/cakey.pem \\
-days 365 \\
-out master.crt
}
caRevoke(){
[ -e ${DIR}/crlnumber ] || echo 01 > ${DIR}/crlnumber
openssl ca -revoke ${DIR}/newcerts/$1
openssl ca -grencrl -out ${DIR}/crl.pem
}
PS3="请选择(1-4):"
MENU="
创建自签名CA证书
为用户签发证书
证书吊销
退出
"
select menu in $MENU;do
case $REPLY in
1)
create_rootCA
;;
2)
create_CA
;;
3)
read -p "请输入要吊销的证书:" CERT
caRevoke $CERT
;;
4)
break
;;
*)
echo "输入错误,请重新输入!"
;;
esac
done
以上是关于Linux自建CA并颁发证书的shell脚本的主要内容,如果未能解决你的问题,请参考以下文章