使用shell脚本生成自签名证书

前言

在不同项目环境配置内部https服务的时候需要使用不同的证书，为了简化生成证书时手动执行命令的繁琐，写了一个shell脚本来生成证书文件。

脚本说明

shell脚本使用说明

shell脚本的使用说明如下：

• 脚本中使用openssl命令生成证书，执行前需要保证openssl命令可用。
• 脚本在centos 7和ubuntu 16.04中已经验证通过；在windows中的git bash里无法正确执行，不要在windows上的git bash里面执行脚本。
• 脚本命令格式如下：

./gen-cert.sh -a 算法 -d 域名 -n 证书文件名

• 脚本中的参数说明：
  • -a 生成的证书中使用的算法，有rsa和ecc两种选项，rsa会生成2048位的key，ecc生成prime256v1的key；
  • -d 证书中的域名，可以支持写多个域名，多个域名使用逗号分隔。第一个域名会作为CN（common name），这个参数里面所有的域名会写入证书的SAN（通过这可以一个证书支持多个不同域名）。
  • -n 生成的服务器证书文件名。脚本生成的证书文件都放在certs目录下，如果目录下已经存在同名的证书文件则会跳过。第二次执行脚本时，如果-n参数指定为与第一次不同的名称，则会使用第一次生成的CA证书签发新的服务器证书。
  • -h 查看脚本帮助。

shell脚本内容

shell脚本的内容如下：

#!/bin/bash

usage()  
{  
    echo "Usage: $0 [-a [rsa|ecc]] [-d ] [-n ] [-h]"  
    echo "  Options:"
    echo "    -a  algorithm.[rsa|ecc]"
    echo "    -d  domain.example: xxx.com,abc.org,*.abc.org"
    echo "    -n  server key name"   
    echo "    -h  help"  
    exit 1  
} 

srv_key_name="server"

while getopts "a:d:n:h" arg #选项后面的冒号表示该选项需要参数
do
    case $arg in
        a)
            alg=$OPTARG #算法
            ;;
        d)
            all_domain=$OPTARG #域名,逗号分隔
            ;;
        n)
            srv_key_name=$OPTARG #服务器证书名称
            ;;
        h)
            usage
            exit 0
            ;;
        ?)  #当有不认识的选项的时候arg为?
            usage
            exit 1
            ;;
    esac
done

domain="domain.com"
san="DNS:*.${domain},DNS:${domain}"
if [ -n "${all_domain}" ]; then
    #分割域名
    OLD_IFS="$IFS"  
    IFS="," 
    domain_array=($all_domain)
    IFS="$OLD_IFS"  

    domain_len=${#domain_array[@]} 
      
    domain=${domain_array[0]}
    san=""
    for ((i=0;i ${cfg_san_file}
    openssl x509 -req  -days ${days} -sha256 -CA ${ca_crt_file} -CAkey ${ca_key_file} -CAcreateserial -in ${srv_csr_file}  -out ${srv_crt_file} -extfile ${cfg_san_file} -extensions SAN
    cat ${srv_crt_file} ${ca_crt_file} > ${srv_fullchain_file}

    openssl pkcs12 -export -inkey ${srv_key_file} -in ${srv_crt_file} -CAfile ${ca_crt_file} -chain -out ${srv_p12_file}
fi

脚本执行示例

1. 执行命令下面命令生成证书，生成pkcs12格式证书过程中会提示输入证书密码，请保持两次输入一致。虽然输入密码时可以直接回车设为空，由于某些使用证书的场景必须要密码，所以最好设置一个密码。生成的文件中ca.crt与ca.key为CA证书的公钥与私钥；test.crt与test.key为服务器证书的公钥与私钥；test.p12为pkcs12格式的文件，包含了公私钥。

./gen-cert.sh -a ecc -d test.com,a.com,*.a.com -n test

生成证书

2. 生成的服务器证书中“颁发给”为test.com，即-d参数中指定的第一个域名。

证书信息-常规

3. 签名算法采用的ECC算法。

证书信息-详细信息-算法

4. 使用者可选名称包含了-d参数中指定的所有域名。

证书信息-详细信息-SAN