linux shell生成apache证书脚本

#openssl req -new > server.csr

#openssl rsa -in privkey.pem -out server.key

#openssl req -x509 -days 3650 -key server.key -in server.csr > server.crt

SSLCertificateFile /etc/httpd/conf/key/server.crt
SSLCertificateKeyFile /etc/httpd/conf/key/server.key

====

UPDATE：

#openssl genrsa -des3 1024 -new > server.old.key

#openssl rsa -in server.old.key -out server.key

#openssl req -new -key server.key > server.csr

#openssl req -x509 -days 3650 -key server.key -in server.csr > server.crt

为了方便，网上有人制作成shell。方便生成。如下：

#!/bin/sh
#
 
# ssl 证书输出的根目录。
sslOutputRoot="/etc/apache_ssl"
if [ $# -eq 1 ]; then
    sslOutputRoot=$1
fi
if [ ! -d ${sslOutputRoot} ]; then
    mkdir -p ${sslOutputRoot}
fi
 
cd ${sslOutputRoot}
 
echo "开始创建CA根证书..."
#
# 创建CA根证书，稍后用来签署用于服务器的证书。如果是通过商业性CA如
# Verisign 或 Thawte 签署证书，则不需要自己来创建根证书，而是应该
# 把后面生成的服务器 csr 文件内容贴入一个web表格，支付签署费用并
# 等待签署的证书。关于商业性CA的更多信息请参见：

# 生成CA根证书私钥
openssl genrsa -des3 -out ca.key 1024
 
# 生成CA根证书
# 根据提示填写各个字段, 但注意 Common Name 最好是有效根域名(如 zeali.net ),
# 并且不能和后来服务器证书签署请求文件中填写的 Common Name 完全一样，否则会
# 导致证书生成的时候出现
# error 18 at 0 depth lookup:self signed certificate 错误
openssl req -new -x509 -days 365 -key ca.key -out ca.crt
echo "CA根证书创建完毕。"
 
echo "开始生成服务器证书签署文件及私钥 ..."
#
# 生成服务器私钥
openssl genrsa -des3 -out server.key 1024
# 生成服务器证书签署请求文件, Common Name 最好填写使用该证书的完整域名
# (比如: security.zeali.net )
openssl req -new -key server.key -out server.csr
ls -altrh  ${sslOutputRoot}/server.*
echo "服务器证书签署文件及私钥生成完毕。"
 
echo "开始使用CA根证书签署服务器证书签署文件 ..."

 
CSR=server.csr
 
case $CSR in
*.csr ) CERT="`echo $CSR | sed -e 's/.csr/.crt/'`" ;;
* ) CERT="$CSR.crt" ;;
esac
 
#   make sure environment exists
if [ ! -d ca.db.certs ]; then
    mkdir ca.db.certs
fi
if [ ! -f ca.db.serial ]; then
    echo '01' >ca.db.serial
fi
if [ ! -f ca.db.index ]; then
    cp /dev/null ca.db.index
fi
 
#   create an own SSLeay config
# 如果需要修改证书的有效期限，请修改下面的 default_days 参数.
# 当前设置为10年.
cat >ca.config < [ ca ]
default_ca  = CA_own
[ CA_own ]
dir = .
certs   = ./certs
new_certs_dir   = ./ca.db.certs
database    = ./ca.db.index
serial  = ./ca.db.serial
RANDFILE    = ./ca.db.rand
certificate = ./ca.crt
private_key = ./ca.key
default_days    = 3650
default_crl_days    = 30
default_md  = md5
preserve    = no
policy  = policy_anything
[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName    = optional
organizationName    = optional
organizationalUnitName  = optional
commonName  = supplied
emailAddress    = optional
EOT
 
#  sign the certificate
echo "CA signing: $CSR -> $CERT:"
openssl ca -config ca.config -out $CERT -infiles $CSR
echo "CA verifying: $CERT <-> CA cert"
openssl verify -CAfile ./certs/ca.crt $CERT
 
#  cleanup after SSLeay
rm -f ca.config
rm -f ca.db.serial.old
rm -f ca.db.index.old
#  sign.sh END
echo "使用CA根证书签署服务器证书签署文件完毕。"
 
# 使用了 ssl 之后，每次启动 apache 都要求输入 server.key 的口令，
# 你可以通过下面的方法去掉口令输入(如果不希望去掉请注释以下几行代码)：
echo "去除 apache 启动时必须手工输入密钥密码的限制:"
cp -f server.key server.key.org
openssl rsa -in server.key.org -out server.key
echo "去除完毕。"
 
# 修改 server.key 的权限，保证密钥安全
chmod 400 server.key
 
echo "Now u can configure apache ssl with following:"
echo -e "tSSLCertificateFile ${sslOutputRoot}/server.crt"
echo -e "tSSLCertificateKeyFile ${sslOutputRoot}/server.key"
 
#  die gracefully
exit 0

# cd /usr/local/apache2
# ./bin/apachectl startssl