CA自签名证书创建--证书链生成脚本

最新推荐文章于 2025-06-12 08:53:49 发布
原创 最新推荐文章于 2025-06-12 08:53:49 发布 · 227 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #ssl

完整脚本:生成 CA 并签署网站证书

#!/bin/bash

# 配置信息  下面变量按需更改
CA_DIR="/etc/pki/CA"
WEB_DIR="/etc/pki/tls"
CA_CN="MyCompany Root CA"
WEB_DOMAIN="www.a.com"
COUNTRY="CN"
STATE="Beijing"
CITY="Beijing"
ORG="MyCompany"
OU="IT Department"
EMAIL="admin@${WEB_DOMAIN}"
CA_DAYS=3650      # CA证书有效期(10年)
WEB_DAYS=730      # 网站证书有效期(2年)

# 创建目录结构
mkdir -p ${CA_DIR}/{private,certs,csr,newcerts,crl} \
         ${WEB_DIR}/{private,certs,csr}
chmod 700 ${CA_DIR}/private ${WEB_DIR}/private

# 初始化CA数据库
touch ${CA_DIR}/index.txt
echo "01" > ${CA_DIR}/serial
echo "01" > ${CA_DIR}/crlnumber

# 配置文件路径
CA_CONFIG="${CA_DIR}/openssl.cnf"
WEB_CONFIG="${WEB_DIR}/openssl.cnf"

# 创建CA配置文件
cat > ${CA_CONFIG} << EOF
[ ca ]
default_ca = CA_default

[ CA_default ]
dir          = ${CA_DIR}
certs        = \$dir/certs
crl_dir      = \$dir/crl
database     = \$dir/index.txt
new_certs_dir = \$dir/newcerts
certificate  = \$dir/certs/ca.crt
private_key  = \$dir/private/ca.key
serial       = \$dir/serial
crlnumber    = \$dir/crlnumber
crl          = \$dir/crl/crl.pem
default_days = ${CA_DAYS}
default_crl_days= 30
default_md   = sha256
policy       = policy_strict

[ policy_strict ]
countryName            = match
stateOrProvinceName    = match
organizationName       = match
organizationalUnitName = optional
commonName             = supplied
emailAddress           = optional

[ req ]
default_bits        = 4096
default_keyfile     = ca.key
distinguished_name  = req_distinguished_name
string_mask         = utf8only
x509_extensions     = v3_ca

[ req_distinguished_name ]
countryName                     = Country Name (2 letter code)
stateOrProvinceName             = State or Province Name
localityName                    = Locality Name
0.organizationName              = Organization Name
organizationalUnitName          = Organizational Unit Name
commonName                      = Common Name
emailAddress                    = Email Address

[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:0
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ v3_server ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
basicConstraints = CA:FALSE
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = ${WEB_DOMAIN}
DNS.2 = ${WEB_DOMAIN#*.}  # 泛域名支持
EOF

# 创建网站证书配置文件
cat > ${WEB_CONFIG} << EOF
[ req ]
default_bits        = 2096
distinguished_name  = req_distinguished_name
req_extensions      = req_ext
x509_extensions     = v3_req
string_mask         = utf8only

[ req_distinguished_name ]
countryName                     = Country Name (2 letter code)
stateOrProvinceName             = State or Province Name
localityName                    = Locality Name
0.organizationName              = Organization Name
organizationalUnitName          = Organizational Unit Name
commonName                      = Common Name
emailAddress                    = Email Address

[ req_ext ]
subjectAltName = @alt_names

[ v3_req ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = ${WEB_DOMAIN}
DNS.2 = ${WEB_DOMAIN#*.}
EOF

# 生成CA私钥(带密码保护)
echo "正在生成CA私钥..."
openssl genrsa -aes256 -out ${CA_DIR}/private/ca.key 4096
chmod 400 ${CA_DIR}/private/ca.key

# 生成CA证书
echo "正在生成CA证书..."
openssl req -new -x509 -days ${CA_DAYS} -key ${CA_DIR}/private/ca.key \
  -out ${CA_DIR}/certs/ca.crt -config ${CA_CONFIG} \
  -subj "/C=${COUNTRY}/ST=${STATE}/L=${CITY}/O=${ORG}/CN=${CA_CN}" \
  -extensions v3_ca

# 生成网站私钥
echo "正在生成网站私钥..."
openssl genrsa -out ${WEB_DIR}/private/${WEB_DOMAIN}.key 2048
chmod 400 ${WEB_DIR}/private/${WEB_DOMAIN}.key

# 生成网站证书请求
echo "正在生成网站证书请求..."
openssl req -new -key ${WEB_DIR}/private/${WEB_DOMAIN}.key \
  -out ${WEB_DIR}/csr/${WEB_DOMAIN}.csr -config ${WEB_CONFIG} \
  -subj "/C=${COUNTRY}/ST=${STATE}/L=${CITY}/O=${ORG}/OU=${OU}/CN=${WEB_DOMAIN}/emailAddress=${EMAIL}"

# 使用CA签署网站证书
echo "正在使用CA签署网站证书..."
openssl ca -batch -config ${CA_CONFIG} -extensions v3_server \
  -days ${WEB_DAYS} -notext -in ${WEB_DIR}/csr/${WEB_DOMAIN}.csr \
  -out ${WEB_DIR}/certs/${WEB_DOMAIN}.crt

# 生成证书链文件(包含CA证书)
echo "正在生成证书链文件..."
cat ${WEB_DIR}/certs/${WEB_DOMAIN}.crt ${CA_DIR}/certs/ca.crt > \
  ${WEB_DIR}/certs/${WEB_DOMAIN}.chain.crt

# 生成吊销列表
echo "正在生成证书吊销列表..."
openssl ca -gencrl -out ${CA_DIR}/crl/crl.pem -config ${CA_CONFIG}

echo "证书生成完成!"
echo "CA证书: ${CA_DIR}/certs/ca.crt"
echo "网站证书: ${WEB_DIR}/certs/${WEB_DOMAIN}.crt"
echo "网站私钥: ${WEB_DIR}/private/${WEB_DOMAIN}.key"
echo "证书链: ${WEB_DIR}/certs/${WEB_DOMAIN}.chain.crt"

使用说明

  1. 保存脚本:将上述代码保存为 generate-ssl-certs.sh
  2. 赋予执行权限chmod +x generate-ssl-certs.sh
  3. 运行脚本sudo ./generate-ssl-certs.sh
  4. 按提示输入 CA 私钥密码(建议使用强密码)

生成的证书文件

  • CA 证书/etc/pki/CA/certs/ca.crt
  • 网站证书/etc/pki/tls/certs/www.a.com.crt
  • 网站私钥/etc/pki/tls/private/www.a.com.key
  • 证书链/etc/pki/tls/certs/www.a.com.chain.crt(包含网站证书和 CA 证书)

配置 Nginx 使用证书

 

server {
    listen 443 ssl http2;
    server_name www.a.com;
    
    ssl_certificate /etc/pki/tls/certs/www.a.com.chain.crt;
    ssl_certificate_key /etc/pki/tls/private/www.a.com.key;
    
    # 安全强化配置
    ssl_protocols TLSv1.3 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256";
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 1d;
    
    # 其他配置...
}

安全注意事项

  1. CA 私钥安全

    • 生成后立即备份到安全位置(如离线存储)
    • 限制访问权限:chmod 400 /etc/pki/CA/private/ca.key

  2. 证书有效期

    • CA 证书设置为 10 年,网站证书设置为 2 年
    • 建立证书监控和续期机制

  3. 客户端信任

    • 将 CA 证书(ca.crt)分发给客户端并导入受信任的根证书存储区

这个脚本实现了完整的 CA 证书和网站证书生成流程,遵循了最佳安全实践,适用于生产环境的内部系统或测试环境。

Frieza_M
关注
OpenSSL 自建CA 以及颁发证书(网站部署https&&双向认证)
卷心菜投手
12-03 4871
CA机构是具有权威公信力的第三方安全认证机构,负责数字证书的申请、审核申请人身份、签发证书证书的生命周期管理等工作。作为独立第三方,CA机构为用户提供电子认证服务,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性、信息的不可否认性,从而保障网络应用的可靠性。
怎么利用linux自建一个ca自己申请证书
白了个白的博客
06-13 714
默认生成证书,在windows上是不被信任的,可以通过导入操作实现信任。匹配策略,指用此CA颁发证书时,证书的相关字段与CA的值的匹配规则。指定第一个吊销证书的编号,注意:第一次更新证书吊销列表前,才需要执行。match 要求申请写的信息跟CA设置信息必须一致。2、为需要使用证书的主机生成证书申请文件。在客户端获取要吊销的证书的 serial。3、用CA签署证书并将证书颁发给请求者。1、为需要使用证书的主机生成生成私钥。浏览器设置-->证书管理-->导入。1、创建CA所需要的文件。
ROS OpenSSL X509 证书链构建及自定义验证
Lin__Mu的博客
03-22 3222
在WSL-Ubuntu20.04 基于 ROS、OpenSSL、C++实现X509证书链构建、发送接收及验证。本实验重庆大学国家卓越工程师学院实验。本人经验尚浅,如本文有任何错误或改进之处欢迎各位留言!😉如果觉得不错的话,可以✨一下吗?
CA证书机构搭建
2302_80752072的博客
11-27 2007
思科CA证书机构搭建
ScyllaDB安全实践:使用OpenSSL生成自签名证书
gitblog_01087的博客
06-02 351
ScyllaDB安全实践:使用OpenSSL生成自签名证书链 【免费下载链接】scylladb ScyllaDB是一个高性能、高度可扩展的NoSQL数据库,设计上兼容Cassandra API,主打低延迟、高并发写入,适用于大规模互联网应用。 ...
SSL证书到期后续费问题
09-16 1490
SSL数字证书是有期限的,最长可以购买两年,到期之后如果还想续费的话就必须重新申请SSL证书,这时候就会有很多问题,比如,ssl证书续费需要手续费吗、ssl证书续费之后怎么安装、必须在SSL证书过期之后才能续费吗等等问题。接下来小编一一回答。 ssl证书续费时需要手续费吗? 当然是不需要的,ssl证书在续费时和正常申请ssl证书一样,只要正常申请你需要的那个证书就可以了,不必交手续费,所有让交手续费的服务商都是骗人的,正规ssl证书服务商给证书续费时不需要缴费的。 ssl证书续费之后该怎
java 生成证书_在java中生成证书链
weixin_42601608的博客
02-12 968
问题是如何在Java中以编程方式生成证书链.换句话说,我想在java中执行这里详述的操作:http://fusesource.com/docs/broker/5.3/security/i382664.html通常,我可以为新客户创建RSA密钥:private KeyPair genRSAKeyPair(){// Get RSA key factory:KeyPairGenerator kpg = ...
HTTPS服务-CA证书服务搭建
weixin_68416970的博客
07-21 2338
HTTPS服务-CA证书服务搭建
CA证书脚本windows,linux都有
10-14
通过自签名的CA证书,企业可以构建自己的内部信任体系,而不需要依赖外部商业CA。 总之,CA证书脚本在Windows和Linux系统中的使用是实现安全通信的关键步骤。正确配置和管理这些脚本,能够确保组织的数据安全和网络...
OpenSSL 一键生成证书
08-10
在OpenSSL中,可以使用`openssl req`命令生成一个新的CA私钥和自签名证书。这个一键生成工具可以帮助开发者快速创建自己的CA,这对于在内部网络环境中构建信任链或进行测试非常有用。 2. **Server证书**:服务器...
简化操作:使用OpenSSL脚本生成自签名TLS证书指南
4. 证书生成脚本:该文档提到了一个特定的脚本命令“self-signed-tls”,该脚本简化了创建自签名证书的过程,允许用户通过命令行选项来设置各种参数,如信任证书、地理位置、组织信息等。 5. 命令行选项:脚本提供...
自签名CA和CN证书生成脚本:Jenkins HTTPS加密指南
标题中提到的知识点是关于使用openssl工具创建自签名CA(Certificate Authority,证书颁发机构)证书和由CA签名的证书。在信息安全领域,证书是用来确保数据传输的安全和身份验证的重要机制。openssl是一个强大的...
创建CA和申请证书
小新没有蜡笔
09-09 648
前言 CA证书颁发机构 根CA==>子CA==>用户,根CA不直接面对用户,而是通过子CA向用户颁发证书 生成自签名证书 自己给自己颁发证书,用于创建CA 创建私有CA: openssl配置文件:/etc/pki/tls/openssl.cnf 三种策略: 匹配(match):申请证书时所填信息必须和配置文件填的一样 支持(supplied):申请证书时所填信息可以不一样但必须
我实践:自建CA证书颁发(openssl)
超级无敌棒棒糖
09-30 1283
文章目录1 搭建CA1.1 建立CA目录与文件1.2 生成CA私钥及证书1.3 证书颁发之配置文件准备openssl.cnf2 颁发证书2.1 用户自己生成秘钥与证书请求(可以在自己的PC上完成)2.2 CA服务器颁发证书2.3 变量方式方便点:2.4 例子2.5 错误:2.6 v3扩展说明证书请求中添加v3扩展:在CA证书颁发时启用v3扩展总结另:3 吊销证书4 更新吊销证书列表5 客户端安装ca证书6 自签名证书和私有CA签名的证书的区别7 good8 openssl.cnf: 用心之作,用openss
生成自签名证书脚本
Amazing_7的博客
06-01 450
【代码】生成自签名证书脚本
openssl生成CA证书
热门推荐
cowbin2012的专栏
08-29 2万+
什么是x509证书链 x509证书一般会用到三类文件,key,csr,crt。 key是私用密钥,openssl格式,通常是rsa算法。 csr是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署申请,还可以设定一个密钥。 crt是CA认证后的证书文件(windows下面的csr,其实是crt),签署人用自己的key给你签署的凭证。 概念 证书类别 根证书 ...
自动检查并生成自签名SSL证书脚本
最新发布
Leon_Jinhai_Sun的博客
06-12 294
这段代码是一个 Bash shell 脚本片段,主要用于检查并生成默认的自签名 SSL 证书(俗称"snakeoil"证书)。
OpenSSL生成自签名证书脚本(免交互脚本、nginx配置、Chrome信任)
pskzs的博客
06-21 2539
linux下,测试或局域网环境使用OpenSSL生成自签名证书、nginx配置及Chrome浏览器信任
02-HTTPS证书生成、验签 、证书链
River的博客
11-11 2089
在第一节中我们知道了HTTPS为什么需要证书,以及证书的作用。那么这一节对证书的细节展开更加深入的研究。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值