2. 程式人生 > >自動生成SSL證書的指令碼

自動生成SSL證書的指令碼

阿新 發佈:2018-10-31

自動生成SSL證書的指令碼

基於Lnux系統下的openssl和jdkkeytool工具

1. 指令碼和配置

1.1 生成https證書指令碼

#! /bin/bash

FILE_PREFIX=tls
RSA_BITS_NUM=2048
VALID_DAYS=3650

PASS_RSA=jeasoon
PASS_P12=jeasoon
PASS_JKS=jeasoon

CRT_ALIAS=jeasoon
CRT_COUNTRY_NAME=CN
CRT_PROVINCE_NAME=Beijing
CRT_CITY_NAME=Beijing
CRT_ORGANIZATION_NAME=
 
jeasoon
CRT_ORGANIZATION_UNIT_NAME=jeasoon
CRT_DOMAIN=*.jeasoon.com
CRT_EMAIL=[email protected]
CRT_EXTRA_CHALLENGE_PASSWD=jeasoon
CRT_EXTRA_OPTINAL_COMPANY_NAME=Jeasoon

# 2.1 生成私鑰
echo -e "\n----------------------------------------------------------\n生成私鑰\n"
openssl genrsa -des3 -passout pass:$PASS_RSA
 
 -out $FILE_PREFIX.pem $RSA_BITS_NUM

# 2.2 除去密碼口令
echo -e "\n----------------------------------------------------------\n除去密碼口令\n"
openssl rsa -in $FILE_PREFIX.pem -out $FILE_PREFIX.key -passin pass:$PASS_RSA

# 2.3 生成證書請求
echo -e "\n----------------------------------------------------------\n生成證書請求\n"
 

openssl req -new -days $VALID_DAYS -key $FILE_PREFIX.key -out $FILE_PREFIX.csr << EOF
$CRT_COUNTRY_NAME
$CRT_PROVINCE_NAME
$CRT_CITY_NAME
$CRT_ORGANIZATION_NAME
$CRT_ORGANIZATION_UNIT_NAME
$CRT_DOMAIN
$CRT_EMAIL
$CRT_EXTRA_CHALLENGE_PASSWD
$CRT_EXTRA_OPTINAL_COMPANY_NAME
EOF

# 2.4 生成證書
echo -e "\n\n----------------------------------------------------------\n生成證書\n"
openssl x509 -req -days $VALID_DAYS -signkey $FILE_PREFIX.key -in $FILE_PREFIX.csr -out $FILE_PREFIX.crt

# 2.5 crt轉為p12證書
echo -e "\n----------------------------------------------------------\ncrt轉為p12證書\n"
openssl pkcs12 -export -in $FILE_PREFIX.crt -inkey $FILE_PREFIX.key -name $CRT_ALIAS -passout pass:$PASS_P12 -out $FILE_PREFIX.p12

# 2.6 p12和jks證書互轉
echo -e "\n----------------------------------------------------------\np12和jks證書互轉\n"
keytool -importkeystore -srckeystore $FILE_PREFIX.p12 -srcstoretype PKCS12 -deststoretype JKS -srcstorepass $PASS_P12 -deststorepass $PASS_JKS -destkeystore $FILE_PREFIX.jks

# 2.7 證書檢視
echo -e "\n----------------------------------------------------------\n證書檢視\n"
keytool -list -v -storepass $PASS_JKS -keystore $FILE_PREFIX.jks
echo

1.2 Tomcat配置

修改tomcat根目錄/conf/server.xml

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true" >
    <SSLHostConfig>
        <Certificate certificateKeystoreFile="tls/tls.jks"
                     certificateKeystorePassword="jeasoon"
                     certificateKeyPassword="jeasoon"
                     certificateKeyAlias="jeasoon"
                     type="RSA" />
    </SSLHostConfig>
</Connector>

2. 指令碼步驟詳解

2.1 生成私鑰

openssl genrsa -des3 -passout pass:密碼口令 -out tls.pem 2048

選項:

  • genrsa: genrsa相關命令
  • -des3: 加密方式, encrypt the generated key with DES in ede cbc mode (168 bit key)
  • -passout: 輸出密碼口令, 後接 pass:密碼口令, 如果省略, 需要手動輸入密碼口令
  • -out: 輸出檔案路徑, 後接檔案路徑; 生成的tls.pem內容為文字
  • 1024/2048: 1024/2048位私鑰, numbits

2.2 除去密碼口令

openssl rsa -in tls.pem -out tls.key -passin pass:密碼口令

選項:

  • rsa: rsa相關命令
  • -in: 第一步生成的pem私鑰, 後接私鑰檔案路徑
  • -out: 輸出檔案路徑, 後接檔案路徑; 生成的tls.key內容為文字
  • -passin: 輸入密碼口令, 後接 pass:密碼口令, 如果省略, 需要手動輸入密碼口令

2.3 生成證書請求

openssl req -new -days 3650 -key tls.key -out tls.csr

選項:

  • req: req相關命令
  • -new: 生成新的證書籤名請求
  • -days: 有效天數, 後接數字, 天數
  • -key: 私鑰key路徑, 後接第二步生成的key路徑
  • -out: 輸出檔案路徑, 後接檔案路徑; 生成的tls.csr內容為文字

互動輸入:

國家程式碼(可空): Country Name (2 letter code) [AU]:
CN
省份程式碼(可空): State or Province Name (full name) [Some-State]:
Beijing
城市程式碼(可空): Locality Name (eg, city) []:
Beijing
公司名稱(可空): Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Jeasoon
部門名稱(可空): Organizational Unit Name (eg, section) []:
Jeasoon
授權域名: Common Name (e.g. server FQDN or YOUR name) []:
*.jeasoon.com
郵件地址(可空): Email Address []:
[email protected]
Extra資訊(可空): A challenge password []:
jeasoon
Extra資訊(可空): An optional company name []:
jeasoon

2.4 生成證書

openssl x509 -req -days 3650 -signkey tls.key -in tls.csr -out tls.crt

選項:

  • x509: x509相關命令
  • -req: 輸入一個證書請求, 簽名並輸出
  • -days: 有效天數, 後接數字, 天數
  • -signkey: 輸入私鑰, 後接第二步生成的key檔案路徑
  • -in: 輸入csr證書, 後接第三步生成的csr證書請求路徑
  • -out: 輸出檔案路徑, 後接檔案路徑; 生成的tls.crt內容為文字

2.5 crt轉為p12證書

openssl pkcs12 -export -in tls.crt -inkey tls.key -name vixtel -passout pass:密碼口令 -out tls.p12

選項:

  • pkcs12: pkcs12相關命令
  • -export: 匯出操作
  • -in: 輸入證書, 後接第四步生成的crt證書路徑
  • -days: 有效天數, 後接數字, 天數
  • -signkey: 輸入私鑰, 後接第二步生成的key檔案路徑
  • -name: 別名
  • -passout: 輸出密碼口令, 後接 pass:密碼口令, 如果省略, 需要手動輸入密碼口令
  • -out: 輸出檔案路徑, 後接檔案路徑; 生成的tls.p12內容為二進位制

2.6 p12和jks證書互轉

keytool為jdk工具

p12 轉為 jks:

keytool -importkeystore -srckeystore tls.p12 -srcstoretype PKCS12 -deststoretype JKS -srcstorepass 輸入密碼口令 -deststorepass 輸出密碼口令 -destkeystore tls.jks

jks 轉為 p12:

keytool -importkeystore -srckeystore tls.jks -srcstoretype JKS -deststoretype PKCS12 -srcstorepass 輸入密碼口令 -deststorepass 輸出密碼口令 -destkeystore tls.p12

選項:

  • -importkeystore: 匯入證書並輸出指定證書
  • -srckeystore: 輸入證書路徑, 後跟輸入證書路徑
  • -destkeystore: 輸出證書路徑, 後跟輸出證書路徑
  • -srcstoretype: 輸入證書型別, 後跟輸入證書型別, PKCS12/JKS
  • -deststoretype: 輸出證書型別, 後跟輸出證書型別, JKS/PKCS12
  • -srcstorepass: 輸入密碼口令, 後接輸入證書的密碼口令
  • -deststorepass: 輸出密碼口令, 後接輸出證書的密碼口令

2.7 證書檢視

keytool -list -v -storepass 密碼口令 -keystore tls.jks

選項:

  • -list: 證書更改或檢視操作
  • -v: 詳細輸出
  • -storepass: 證書密碼口令
  • -keystore: 證書路徑, 後跟要檢視的證書路徑

互動輸出:

Keystore type: jks
Keystore provider: SUN

Your keystore contains 1 entry

Alias name: jeasoon
Creation date: Oct 30, 2018
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: [email protected], CN=*.jeasoon.com, O=Vixtel, L=Beijing, ST=Beijing, C=CN
Issuer: [email protected], CN=*.jeasoon.com, O=Vixtel, L=Beijing, ST=Beijing, C=CN
Serial number: d561956d9762442a
Valid from: Tue Oct 30 17:18:37 CST 2018 until: Fri Oct 27 17:18:37 CST 2028
Certificate fingerprints:
         MD5:  28:82:FC:F2:05:DB:BD:7F:9A:30:3B:DC:92:0A:AF:BE
         SHA1: 62:EC:7A:D5:7A:4B:1C:67:A9:04:FD:8B:B7:4C:5E:9F:D4:7B:0A:8F
         SHA256: 15:20:DA:E2:0D:07:05:99:4F:5F:9C:AA:CF:8F:B3:68:E2:79:27:52:2E:34:52:7C:D5:F6:0E:5E:55:A6:5B:0F
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 1


*******************************************
*******************************************

相關推薦

自動生成SSL證書指令碼

自動生成SSL證書的指令碼 基於Lnux系統下的openssl和jdkkeytool工具 1. 指令碼和配置 1.1 生成https證書指令碼 #! /bin/bash FILE_PREFIX=tls RSA_BITS_NUM=2048 VALID_DAYS=3650 P

使用keytool生成ssl證書

display tail ken -s spa alt lan text nbsp 使用keytool生成ssl證書     在項目中由於要使用https訪問項目,然後了解到jdk有一個自帶的工具keytool可以用來生成ssl證書,從而可以通過https進行訪問。    

WIN64使用OPENSSL生成SSL證書

nbsp 請求 md5 輸入 ssl證書 密碼 http 私鑰 x509 WIN64使用OPENSSL生成SSL證書 下載OPENSSL http://slproweb.com/products/Win32OpenSSL.html 生成服務器端的私鑰(key文件):open

OpenSSl生成SSL證書(支持https)

https openssl 一:環境與安裝說明 WIN7_64,Nginx服務器,OpenSSL_Win64。本人使用phpStudy集成開發環境,使用Nginx+PHP,支持瀏覽器https請求。 nginx下載地址:http://nginx.org/en/download.html

利用JDK自帶的keytool生成SSL證書然後導入到SpringBoot

生成 密鑰 clas alias 自帶 就會 輸入 http -type 一:生成命令如下(這一步生成的暫不知道幹嘛用的) E:\Desktop\Documents\證書>keytool -genkey -alias tomcat -keypass 123456

openssl生成SSL證書的流程 - moonhillcity的部落格 - CSDN部落格

1.安裝openssl 之後在/usr/lib/ssl目錄下(ubuntu系統,用whereis查下ssl目錄即可)下找到openssl.cnf,拷貝到工作目錄下。 2.工作目錄下新建demoCA資料夾,資料夾中新建檔案index.txt和serial,再建立一個newcerts的資料夾。在serial裡面

使用acme.sh快速生成SSL證書

起因 早上收到了一封來自MySSL EE <[email protected]>的郵件提示證書即將過期, 少於7天,但是acme.sh應該是60天自動renew的。於是檢視下安裝的證書列表: acme.sh --list 結果如下(已排版): Main_Domain:*.lo

JDK自帶工具keytool生成ssl證書

前言: 因為公司專案客戶要求使用HTTPS的方式來保證資料的安全,所以木有辦法研究了下怎麼生成ssl證書來使用https以保證資料安全。 百度了不少資料,看到JAVA的JDK自帶生成SSL證書的工具:keytool,外加看了同事的心得體會,自己總結了一下具體的使用方法

Docker使用 linuxserver/letsencrypt 生成SSL證書最全解析及實踐

本文使用http和dns兩種校驗方式對docker下linuxserver/letsencrypt 專案進行了實踐,並使用nginx的htpasswd來對網站進行密碼保護,並測試使用fail2ban防止htpasswd被暴力破解.全文基於linuxserver/

JDK自帶工具keytool生成ssl證書 此計算機上的防火牆阻止了遠端除錯

@參考文章 keytool -genkey -alias tomcat -keypass zhangyanan -keyalg RSA -keysize 1024 -validity 3 -keystore E:/tomcat.keystore -storepass zhangyanan 然後一

用jdk生成ssl證書

C:\Program Files\Java\jdk1.8.0_131\bin>keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\keys\tomcat.keystore -validity 36500 輸入金鑰庫口令: 再次輸入

JDK自帶keytool生成SSL證書,搭建tomcat+https協議

1、生成伺服器證書:CMD進入JDK安裝目錄:cd c:/"Program Files"/java/jdk1.6.0_43/bin。輸入命令:keytool -genkey -v -alias tomcat -keyalg RSA -keystore F:/ssl/tomca

JDK自帶工具keytool生成ssl證書(https自生成證書並配置到jboss和tomcat中)

1:什麼是HTTPS? HTTPS其實是有兩部分組成:HTTP + SSL / TLS, 也就是在HTTP上又加了一層處理加密資訊的模組,並且會進行身份的驗證。 問題: Firebug和postman之類的瀏覽器除錯工具,為什麼獲取到的是明文? 解答: SSL

openssl生成ssl證書的方法

 x509證書一般會用到三類文,key,csr,crt。 Key 是私用金鑰openssl格,通常是rsa演算法。 Csr 是證書請求檔案,用於申請證書。在製作csr檔案的時,必須使用自己的私鑰來簽署申,還可以設定一個金鑰。 crt是CA認證後的證書文,(windows

自制SSL證書指令碼

Thanks to @廖雪峰 for the script #!/bin/sh # create self-signed server certificate: read -p "Enter your domain [www.example.com]: " DOMAIN

本地安裝自行生成 ssl 證書

#openssl genrsa -des3 -out server.key 2048輸入四位數的密碼:[email protected]#openssl rsa -in server.key -out server.key 這裡需要輸入剛四位密碼確認#openssl

kubernetes-kubeadm自動生成證書過期的解決方法

hour exp cti 編輯 1.2 oca x509 set 文件添加 拉取kubernetes的源碼: git clone https://github.com/kubernetes/kubernetes.git 切換版本: cd kubernete

Nginx 通過 certbot 為網站自動配置 SSL 證書並續期

配置證書 ply email regular 添加 removing front 方便 random 一、背景知識 1.1、http 和 https 是什麽? 簡單來說,http 是一個傳輸網頁內容的協議,比如你看到的 http 開頭的網站 http://www.163.c

Docker Compose + Traefik v2 快速安裝, 自動申請SSL證書 http轉https 初次嘗試

###前言 昨晚閒得無聊睡不著覺,拿起伺服器嘗試部署了一下Docker + Traefik v2.1.6 ,以下是一些配置的總結,初次接觸,大佬勿噴。 我的系統環境是 Ubuntu 18.04.3 LTS ###一、Docker 和 Docker Compose 安裝 *懶人使用一鍵指令碼* **1.Doc

在Docker上部署自動更新ssl證書的nginx + .NET Core

突發奇想要搞一個ssl的伺服器,然後我就打起了docker的主意,想著能不能搞一個基於Docker的伺服器,這樣維護起來也方便一點。 ## 設想 想法是滿足這麼幾點: 1. .NET Core on Docker 2. Let’s Encypt on Docker 3. nginx on Docker用於反