#!/bin/bash -e

# * 为必改项

# * 更换为你自己的域名

CN='' # 例如: demo.rancher.com

# 扩展信任IP或域名

## 一般ssl证书只信任域名的访问请求,有时候需要使用ip去访问server,那么需要给ssl证书添加扩展IP,

## 多个IP用逗号隔开。如果想多个域名访问,则添加扩展域名(SSL_DNS),多个SSL_DNS用逗号隔开

SSL_IP='' # 例如: 1.2.3.4

SSL_DNS='' # 例如: demo.rancher.com

# 国家名(2个字母的代号)

C=CN

# 证书加密位数

SSL_SIZE=

# 证书有效期

DATE=${DATE:-}

# 配置文件

SSL_CONFIG='openssl.cnf'

if [[ -z $SILENT ]]; then

echo "----------------------------"

echo "| SSL Cert Generator |"

echo "----------------------------"

echo

fi

export CA_KEY=${CA_KEY-"cakey.pem"}

export CA_CERT=${CA_CERT-"cacerts.pem"}

export CA_SUBJECT=ca-$CN

export CA_EXPIRE=${DATE}

export SSL_CONFIG=${SSL_CONFIG}

export SSL_KEY=$CN.key

export SSL_CSR=$CN.csr

export SSL_CERT=$CN.crt

export SSL_EXPIRE=${DATE}

export SSL_SUBJECT=${CN}

export SSL_DNS=${SSL_DNS}

export SSL_IP=${SSL_IP}

export K8S_SECRET_COMBINE_CA=${K8S_SECRET_COMBINE_CA:-'true'}

[[ -z $SILENT ]] && echo "--> Certificate Authority"

if [[ -e ./${CA_KEY} ]]; then

    [[ -z $SILENT ]] && echo "====> Using existing CA Key ${CA_KEY}"

else

    [[ -z $SILENT ]] && echo "====> Generating new CA key ${CA_KEY}"

    openssl genrsa -out ${CA_KEY} ${SSL_SIZE} > /dev/null

fi

if [[ -e ./${CA_CERT} ]]; then

    [[ -z $SILENT ]] && echo "====> Using existing CA Certificate ${CA_CERT}"

else

    [[ -z $SILENT ]] && echo "====> Generating new CA Certificate ${CA_CERT}"

    openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} \

    -days ${CA_EXPIRE} -out ${CA_CERT} -subj "/CN=${CA_SUBJECT}" > /dev/null || exit

fi

echo "====> Generating new config file ${SSL_CONFIG}"

cat > ${SSL_CONFIG} <<EOM

[req]

req_extensions = v3_req

distinguished_name = req_distinguished_name

[req_distinguished_name]

[ v3_req ]

basicConstraints = CA:FALSE

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

extendedKeyUsage = clientAuth, serverAuth

EOM

if [[ -n ${SSL_DNS} || -n ${SSL_IP} ]]; then

    cat >> ${SSL_CONFIG} <<EOM

subjectAltName = @alt_names

[alt_names]

EOM

    IFS=","

    dns=(${SSL_DNS})

    dns+=(${SSL_SUBJECT})

    for i in "${!dns[@]}"; do

      echo DNS.$((i+)) = ${dns[$i]} >> ${SSL_CONFIG}

    done

    if [[ -n ${SSL_IP} ]]; then

        ip=(${SSL_IP})

        for i in "${!ip[@]}"; do

          echo IP.$((i+)) = ${ip[$i]} >> ${SSL_CONFIG}

        done

    fi

fi

[[ -z $SILENT ]] && echo "====> Generating new SSL KEY ${SSL_KEY}"

openssl genrsa -out ${SSL_KEY} ${SSL_SIZE} > /dev/null || exit 

[[ -z $SILENT ]] && echo "====> Generating new SSL CSR ${SSL_CSR}"

openssl req -sha256 -new -key ${SSL_KEY} -out ${SSL_CSR} \

-subj "/CN=${SSL_SUBJECT}" -config ${SSL_CONFIG} > /dev/null || exit 

[[ -z $SILENT ]] && echo "====> Generating new SSL CERT ${SSL_CERT}"

openssl x509 -sha256 -req -in ${SSL_CSR} -CA ${CA_CERT} \

    -CAkey ${CA_KEY} -CAcreateserial -out ${SSL_CERT} \

    -days ${SSL_EXPIRE} -extensions v3_req \

    -extfile ${SSL_CONFIG} > /dev/null || exit 

if [[ -z $SILENT ]]; then

echo "====> Complete"

echo "keys can be found in volume mapped to $(pwd)"

echo

echo "====> Output results as YAML"

echo "---"

echo "ca_key: |"

cat $CA_KEY | sed 's/^/  /'

echo

echo "ca_cert: |"

cat $CA_CERT | sed 's/^/  /'

echo

echo "ssl_key: |"

cat $SSL_KEY | sed 's/^/  /'

echo

echo "ssl_csr: |"

cat $SSL_CSR | sed 's/^/  /'

echo

echo "ssl_cert: |"

cat $SSL_CERT | sed 's/^/  /'

echo

fi

if [[ -n $K8S_SECRET_NAME ]]; then

  if [[ -n $K8S_SECRET_COMBINE_CA ]]; then

    [[ -z $SILENT ]] && echo "====> Adding CA to Cert file"

    cat ${CA_CERT} >> ${SSL_CERT}

  fi

  [[ -z $SILENT ]] && echo "====> Creating Kubernetes secret: $K8S_SECRET_NAME"

  kubectl delete secret $K8S_SECRET_NAME --ignore-not-found

  if [[ -n $K8S_SECRET_SEPARATE_CA ]]; then

    kubectl create secret generic \

    $K8S_SECRET_NAME \

    --from-file="tls.crt=${SSL_CERT}" \

    --from-file="tls.key=${SSL_KEY}" \

    --from-file="ca.crt=${CA_CERT}"

  else

    kubectl create secret tls \

    $K8S_SECRET_NAME \

    --cert=${SSL_CERT} \

    --key=${SSL_KEY}

  fi

  if [[ -n $K8S_SECRET_LABELS ]]; then

    [[ -z $SILENT ]] && echo "====> Labeling Kubernetes secret"

    IFS=$' \n\t' # We have to reset IFS or label secret will misbehave on some systems

    kubectl label secret \

      $K8S_SECRET_NAME \

      $K8S_SECRET_LABELS

  fi

fi

echo "4. 重命名服务证书"

mv ${CN}.key tls.key

mv ${CN}.crt tls.crt

复制以上代码另存为create_self-signed-cert.sh或者其他您喜欢的文件名。修改代码开头的CN(域名),如果需要使用ip去访问rancher server,那么需要给ssl证书添加扩展IP,多个IP用逗号隔开。如果想实现多个域名访问rancher server,则添加扩展域名(SSL_DNS),多个SSL_DNS用逗号隔开。

一键生成ssl自签名证书脚本的更多相关文章

  1. springboot配置SSL自签名证书

    1.证书生成 每一个JDK或者JRE里都有一个工具,叫做:keytool,安装了jdk或jre之后,配置好JAVA环境之后,就可以直接在控制台使用该命令生成自签名证书: 在控制台输入: keytool ...

  2. OPENSSL生成SSL自签证书

    OPENSSL生成SSL自签证书 目前,有许多重要的公网可以访问的网站系统(如网银系统)都在使用自签SSL证书,即自建PKI系统颁发的SSL证书,而不是部署支持浏览器的SSL证书. 支持浏览器的SSL ...

  3. Linux下生成openssl自签名证书

    校验证书是否被 CA 证书签名,正确的情况: $ openssl verify -CAfile /etc/kubernetes/cert/ca.pem /etc/kubernetes/cert/kub ...

  4. Nginx配置SSL自签名证书

    生成自签名SSL证书 生成RSA密钥(过程需要设置一个密码,记住这个密码) $ openssl genrsa -des3 -out domain.key 1024 拷贝一个不需要输入密码的密钥文件 $ ...

  5. IIS 使用OpenSSL 生成的自签名证书,然后使用SingalR 客户端访问Https 站点通信

    使用SignalR 的客户端去发送消息给使用 https 部署的站点,官方文档目前并没有详细的教程,所以在此记录下步骤: 使用管理员身份打开cmd 窗口,选择一个整数保存文件夹的地址,切换到对应的文件 ...

  6. ES配置生成SSL使用的证书

    cd /usr/local/elasticsearch/bin/ ./elasticsearch-certgen ##################################### Pleas ...

  7. 使用openssl生成SSL证书完全参考手册

    一般来说,配置HTTPS/SSL的步骤为: 1.生成足够强度的私钥.需要考虑:算法,广泛采用的一般是RSA.键长度,RSA默认为512,一般应选择2048.密码,虽然私钥不一定要加密存储,但是加密存储 ...

  8. windows下使用makecert命令生成自签名证书

    1.makecert命令路径 C:\Program Files (x86)\Windows Kits\8.1\bin\x64 2.生成一个自签名证书 makecert -r -pe -n " ...

  9. k8s集群———etcd-ssl自签名证书

    etcd集群master节点安装 ,自签名SSL证书 ##安装工具cfssl $ cat cfssl.sh curl -L https://pkg.cfssl.org/R1.2/cfssl_linux ...

随机推荐

  1. Linux实战教学笔记55:开源虚拟化KVM(三)管理虚拟网络

    六,管理虚拟网络 [x] Linux网桥基本概念 [x] qemu-kvm支持的网络 [x] 向虚拟机添加虚拟网络连接 [x] 基于NAT的虚拟网络 [x] 基于网桥的虚拟网络 [x] 用户自定义的隔 ...

  2. cf499A-Watching a movie

    http://codeforces.com/problemset/problem/499/A A. Watching a movie   You have decided to watch the b ...

  3. 一些好用的 Oracle 批处理和语句

    # 备份脚本 backup.bat @ECHO OFF COLOR 0A SET DaysAgo=1 SET Today=%date:~0,4%%date:~5,2%%date:~8,2% EXP u ...

  4. 让tomcat自动定位到项目

    在servelt.xml中添加粗体部分. <Host name="localhost" appBase="webapps" unpackWARs=&quo ...

  5. swift新建类和子类方法的重写与重载

    1.首先什么是重写与重载? 一.重写(override) override是重写(覆盖)了一个方法,以实现不同的功能.一般是用于子类在继承父类时,重写(重新实现)父类中的方法. 重写(覆盖)的规则: ...

  6. 谈谈Spring 注入properties文件总结

    本篇谈谈Spring 注入properties文件总结,小编觉得挺不错的,现在分享给大家,也给大家做个参考.一起跟随小编过来看看吧 spring提供了多种方式来注入properties文件,本文做一个 ...

  7. Java基础——常用类型转换

    关于类型转化问题: (1)String--------->char / char[ ] String str = "ab"; char str1 = str.charAt(0 ...

  8. 第一次用FontLad~

    FontLad 是一款制作字体的工具 使用流程: 1. 下载.安装软件FontLab Studio2.   File->New菜单,创建一个工程文件,会自动创建一个ASCII码表对应的字体表3. ...

  9. CSS选择器种类及介绍

    首先说主都有哪些先择器 1.标签选择器(如:body,div,p,ul,li) 2.类选择器(如:class="head",class="head_logo") ...

  10. 白盒测试实践项目(day6)

    胡俊辉负责JUint测试部分,了解JUint测试的方法,并对其他成员介绍JUint的使用,负责JUnit部分相关文档的编写,负责博客园博客的维护,负责小组成员的任务分类与管理. 李建文负责代码复审部分 ...