#!/bin/bash -e

# * 为必改项

# * 更换为你自己的域名

CN='' # 例如: demo.rancher.com

# 扩展信任IP或域名

## 一般ssl证书只信任域名的访问请求,有时候需要使用ip去访问server,那么需要给ssl证书添加扩展IP,

## 多个IP用逗号隔开。如果想多个域名访问,则添加扩展域名(SSL_DNS),多个SSL_DNS用逗号隔开

SSL_IP='' # 例如: 1.2.3.4

SSL_DNS='' # 例如: demo.rancher.com

# 国家名(2个字母的代号)

C=CN

# 证书加密位数

SSL_SIZE=

# 证书有效期

DATE=${DATE:-}

# 配置文件

SSL_CONFIG='openssl.cnf'

if [[ -z $SILENT ]]; then

echo "----------------------------"

echo "| SSL Cert Generator |"

echo "----------------------------"

echo

fi

export CA_KEY=${CA_KEY-"cakey.pem"}

export CA_CERT=${CA_CERT-"cacerts.pem"}

export CA_SUBJECT=ca-$CN

export CA_EXPIRE=${DATE}

export SSL_CONFIG=${SSL_CONFIG}

export SSL_KEY=$CN.key

export SSL_CSR=$CN.csr

export SSL_CERT=$CN.crt

export SSL_EXPIRE=${DATE}

export SSL_SUBJECT=${CN}

export SSL_DNS=${SSL_DNS}

export SSL_IP=${SSL_IP}

export K8S_SECRET_COMBINE_CA=${K8S_SECRET_COMBINE_CA:-'true'}

[[ -z $SILENT ]] && echo "--> Certificate Authority"

if [[ -e ./${CA_KEY} ]]; then

    [[ -z $SILENT ]] && echo "====> Using existing CA Key ${CA_KEY}"

else

    [[ -z $SILENT ]] && echo "====> Generating new CA key ${CA_KEY}"

    openssl genrsa -out ${CA_KEY} ${SSL_SIZE} > /dev/null

fi

if [[ -e ./${CA_CERT} ]]; then

    [[ -z $SILENT ]] && echo "====> Using existing CA Certificate ${CA_CERT}"

else

    [[ -z $SILENT ]] && echo "====> Generating new CA Certificate ${CA_CERT}"

    openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} \

    -days ${CA_EXPIRE} -out ${CA_CERT} -subj "/CN=${CA_SUBJECT}" > /dev/null || exit

fi

echo "====> Generating new config file ${SSL_CONFIG}"

cat > ${SSL_CONFIG} <<EOM

[req]

req_extensions = v3_req

distinguished_name = req_distinguished_name

[req_distinguished_name]

[ v3_req ]

basicConstraints = CA:FALSE

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

extendedKeyUsage = clientAuth, serverAuth

EOM

if [[ -n ${SSL_DNS} || -n ${SSL_IP} ]]; then

    cat >> ${SSL_CONFIG} <<EOM

subjectAltName = @alt_names

[alt_names]

EOM

    IFS=","

    dns=(${SSL_DNS})

    dns+=(${SSL_SUBJECT})

    for i in "${!dns[@]}"; do

      echo DNS.$((i+)) = ${dns[$i]} >> ${SSL_CONFIG}

    done

    if [[ -n ${SSL_IP} ]]; then

        ip=(${SSL_IP})

        for i in "${!ip[@]}"; do

          echo IP.$((i+)) = ${ip[$i]} >> ${SSL_CONFIG}

        done

    fi

fi

[[ -z $SILENT ]] && echo "====> Generating new SSL KEY ${SSL_KEY}"

openssl genrsa -out ${SSL_KEY} ${SSL_SIZE} > /dev/null || exit 

[[ -z $SILENT ]] && echo "====> Generating new SSL CSR ${SSL_CSR}"

openssl req -sha256 -new -key ${SSL_KEY} -out ${SSL_CSR} \

-subj "/CN=${SSL_SUBJECT}" -config ${SSL_CONFIG} > /dev/null || exit 

[[ -z $SILENT ]] && echo "====> Generating new SSL CERT ${SSL_CERT}"

openssl x509 -sha256 -req -in ${SSL_CSR} -CA ${CA_CERT} \

    -CAkey ${CA_KEY} -CAcreateserial -out ${SSL_CERT} \

    -days ${SSL_EXPIRE} -extensions v3_req \

    -extfile ${SSL_CONFIG} > /dev/null || exit 

if [[ -z $SILENT ]]; then

echo "====> Complete"

echo "keys can be found in volume mapped to $(pwd)"

echo

echo "====> Output results as YAML"

echo "---"

echo "ca_key: |"

cat $CA_KEY | sed 's/^/  /'

echo

echo "ca_cert: |"

cat $CA_CERT | sed 's/^/  /'

echo

echo "ssl_key: |"

cat $SSL_KEY | sed 's/^/  /'

echo

echo "ssl_csr: |"

cat $SSL_CSR | sed 's/^/  /'

echo

echo "ssl_cert: |"

cat $SSL_CERT | sed 's/^/  /'

echo

fi

if [[ -n $K8S_SECRET_NAME ]]; then

  if [[ -n $K8S_SECRET_COMBINE_CA ]]; then

    [[ -z $SILENT ]] && echo "====> Adding CA to Cert file"

    cat ${CA_CERT} >> ${SSL_CERT}

  fi

  [[ -z $SILENT ]] && echo "====> Creating Kubernetes secret: $K8S_SECRET_NAME"

  kubectl delete secret $K8S_SECRET_NAME --ignore-not-found

  if [[ -n $K8S_SECRET_SEPARATE_CA ]]; then

    kubectl create secret generic \

    $K8S_SECRET_NAME \

    --from-file="tls.crt=${SSL_CERT}" \

    --from-file="tls.key=${SSL_KEY}" \

    --from-file="ca.crt=${CA_CERT}"

  else

    kubectl create secret tls \

    $K8S_SECRET_NAME \

    --cert=${SSL_CERT} \

    --key=${SSL_KEY}

  fi

  if [[ -n $K8S_SECRET_LABELS ]]; then

    [[ -z $SILENT ]] && echo "====> Labeling Kubernetes secret"

    IFS=$' \n\t' # We have to reset IFS or label secret will misbehave on some systems

    kubectl label secret \

      $K8S_SECRET_NAME \

      $K8S_SECRET_LABELS

  fi

fi

echo "4. 重命名服务证书"

mv ${CN}.key tls.key

mv ${CN}.crt tls.crt

复制以上代码另存为create_self-signed-cert.sh或者其他您喜欢的文件名。修改代码开头的CN(域名),如果需要使用ip去访问rancher server,那么需要给ssl证书添加扩展IP,多个IP用逗号隔开。如果想实现多个域名访问rancher server,则添加扩展域名(SSL_DNS),多个SSL_DNS用逗号隔开。

一键生成ssl自签名证书脚本的更多相关文章

  1. springboot配置SSL自签名证书

    1.证书生成 每一个JDK或者JRE里都有一个工具,叫做:keytool,安装了jdk或jre之后,配置好JAVA环境之后,就可以直接在控制台使用该命令生成自签名证书: 在控制台输入: keytool ...

  2. OPENSSL生成SSL自签证书

    OPENSSL生成SSL自签证书 目前,有许多重要的公网可以访问的网站系统(如网银系统)都在使用自签SSL证书,即自建PKI系统颁发的SSL证书,而不是部署支持浏览器的SSL证书. 支持浏览器的SSL ...

  3. Linux下生成openssl自签名证书

    校验证书是否被 CA 证书签名,正确的情况: $ openssl verify -CAfile /etc/kubernetes/cert/ca.pem /etc/kubernetes/cert/kub ...

  4. Nginx配置SSL自签名证书

    生成自签名SSL证书 生成RSA密钥(过程需要设置一个密码,记住这个密码) $ openssl genrsa -des3 -out domain.key 1024 拷贝一个不需要输入密码的密钥文件 $ ...

  5. IIS 使用OpenSSL 生成的自签名证书,然后使用SingalR 客户端访问Https 站点通信

    使用SignalR 的客户端去发送消息给使用 https 部署的站点,官方文档目前并没有详细的教程,所以在此记录下步骤: 使用管理员身份打开cmd 窗口,选择一个整数保存文件夹的地址,切换到对应的文件 ...

  6. ES配置生成SSL使用的证书

    cd /usr/local/elasticsearch/bin/ ./elasticsearch-certgen ##################################### Pleas ...

  7. 使用openssl生成SSL证书完全参考手册

    一般来说,配置HTTPS/SSL的步骤为: 1.生成足够强度的私钥.需要考虑:算法,广泛采用的一般是RSA.键长度,RSA默认为512,一般应选择2048.密码,虽然私钥不一定要加密存储,但是加密存储 ...

  8. windows下使用makecert命令生成自签名证书

    1.makecert命令路径 C:\Program Files (x86)\Windows Kits\8.1\bin\x64 2.生成一个自签名证书 makecert -r -pe -n " ...

  9. k8s集群———etcd-ssl自签名证书

    etcd集群master节点安装 ,自签名SSL证书 ##安装工具cfssl $ cat cfssl.sh curl -L https://pkg.cfssl.org/R1.2/cfssl_linux ...

随机推荐

  1. MyBatis 体系结构

  2. Slim安装以及使用【转】

    最近在用backbone.js 做东西,因为牵扯到REST services 所以需要后台支持,此处选择了php.Slim 是php的一个框架. 貌似国内文章对此的介绍比较少,在安装Slim的过程中出 ...

  3. 【bzoj3667】Rabin-Miller算法

    3667: Rabin-Miller算法 Time Limit: 60 Sec  Memory Limit: 512 MBSubmit: 1200  Solved: 363[Submit][Statu ...

  4. shell编程之sed语法

    首先插播条广告:  想要进一个文件夹去 看下面有那些文件 必须对这个文件夹有执行权限. sed p  打印对应的行  2p 打印第二行. -n  只输出经过sed 命令处理的行 看图吧 不太会擅长言语 ...

  5. hdu Lovekey(水题)

    #include<stdio.h> #include<string.h> ]; int main() { ],s2[]; int l1,l2,i,j,k; while(scan ...

  6. C# 实现对PPT编辑

    C# Presentation 文本替换 我们可以通过插入占位符的方式,使用新的字词替换已有幻灯片里的文字. 本文将详细描述如何使用Spire.Presentation 来替换Prsentation ...

  7. springMVC框架集成tiles模板

    将tiles模板集成到springMVC框架下,大概流程如下: 1.在配置文件中加入tiles支持 我的servlet配置文件名为spring-mvc.xml.具体配置如下: <?xml ver ...

  8. JS 封装的结构关系

    /* -- 封装 -- */var _packaging = function() { //私有属性和方法 var age = "12"; var method1 = functi ...

  9. CodeForces 814D An overnight dance in discotheque(贪心+dfs)

    The crowdedness of the discotheque would never stop our friends from having fun, but a bit more spac ...

  10. mongoexport遭遇Authentication failed

    今天使用mongoexport工具导出数据,遇到权限不足报错:[host]$mongoexport  -h 10.31.11.190:23820 -udbmgr -pMgr2mgdb -d rcmp ...