#!/bin/bash -e

# * 为必改项

# * 更换为你自己的域名

CN='' # 例如: demo.rancher.com

# 扩展信任IP或域名

## 一般ssl证书只信任域名的访问请求,有时候需要使用ip去访问server,那么需要给ssl证书添加扩展IP,

## 多个IP用逗号隔开。如果想多个域名访问,则添加扩展域名(SSL_DNS),多个SSL_DNS用逗号隔开

SSL_IP='' # 例如: 1.2.3.4

SSL_DNS='' # 例如: demo.rancher.com

# 国家名(2个字母的代号)

C=CN

# 证书加密位数

SSL_SIZE=

# 证书有效期

DATE=${DATE:-}

# 配置文件

SSL_CONFIG='openssl.cnf'

if [[ -z $SILENT ]]; then

echo "----------------------------"

echo "| SSL Cert Generator |"

echo "----------------------------"

echo

fi

export CA_KEY=${CA_KEY-"cakey.pem"}

export CA_CERT=${CA_CERT-"cacerts.pem"}

export CA_SUBJECT=ca-$CN

export CA_EXPIRE=${DATE}

export SSL_CONFIG=${SSL_CONFIG}

export SSL_KEY=$CN.key

export SSL_CSR=$CN.csr

export SSL_CERT=$CN.crt

export SSL_EXPIRE=${DATE}

export SSL_SUBJECT=${CN}

export SSL_DNS=${SSL_DNS}

export SSL_IP=${SSL_IP}

export K8S_SECRET_COMBINE_CA=${K8S_SECRET_COMBINE_CA:-'true'}

[[ -z $SILENT ]] && echo "--> Certificate Authority"

if [[ -e ./${CA_KEY} ]]; then

    [[ -z $SILENT ]] && echo "====> Using existing CA Key ${CA_KEY}"

else

    [[ -z $SILENT ]] && echo "====> Generating new CA key ${CA_KEY}"

    openssl genrsa -out ${CA_KEY} ${SSL_SIZE} > /dev/null

fi

if [[ -e ./${CA_CERT} ]]; then

    [[ -z $SILENT ]] && echo "====> Using existing CA Certificate ${CA_CERT}"

else

    [[ -z $SILENT ]] && echo "====> Generating new CA Certificate ${CA_CERT}"

    openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} \

    -days ${CA_EXPIRE} -out ${CA_CERT} -subj "/CN=${CA_SUBJECT}" > /dev/null || exit

fi

echo "====> Generating new config file ${SSL_CONFIG}"

cat > ${SSL_CONFIG} <<EOM

[req]

req_extensions = v3_req

distinguished_name = req_distinguished_name

[req_distinguished_name]

[ v3_req ]

basicConstraints = CA:FALSE

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

extendedKeyUsage = clientAuth, serverAuth

EOM

if [[ -n ${SSL_DNS} || -n ${SSL_IP} ]]; then

    cat >> ${SSL_CONFIG} <<EOM

subjectAltName = @alt_names

[alt_names]

EOM

    IFS=","

    dns=(${SSL_DNS})

    dns+=(${SSL_SUBJECT})

    for i in "${!dns[@]}"; do

      echo DNS.$((i+)) = ${dns[$i]} >> ${SSL_CONFIG}

    done

    if [[ -n ${SSL_IP} ]]; then

        ip=(${SSL_IP})

        for i in "${!ip[@]}"; do

          echo IP.$((i+)) = ${ip[$i]} >> ${SSL_CONFIG}

        done

    fi

fi

[[ -z $SILENT ]] && echo "====> Generating new SSL KEY ${SSL_KEY}"

openssl genrsa -out ${SSL_KEY} ${SSL_SIZE} > /dev/null || exit 

[[ -z $SILENT ]] && echo "====> Generating new SSL CSR ${SSL_CSR}"

openssl req -sha256 -new -key ${SSL_KEY} -out ${SSL_CSR} \

-subj "/CN=${SSL_SUBJECT}" -config ${SSL_CONFIG} > /dev/null || exit 

[[ -z $SILENT ]] && echo "====> Generating new SSL CERT ${SSL_CERT}"

openssl x509 -sha256 -req -in ${SSL_CSR} -CA ${CA_CERT} \

    -CAkey ${CA_KEY} -CAcreateserial -out ${SSL_CERT} \

    -days ${SSL_EXPIRE} -extensions v3_req \

    -extfile ${SSL_CONFIG} > /dev/null || exit 

if [[ -z $SILENT ]]; then

echo "====> Complete"

echo "keys can be found in volume mapped to $(pwd)"

echo

echo "====> Output results as YAML"

echo "---"

echo "ca_key: |"

cat $CA_KEY | sed 's/^/  /'

echo

echo "ca_cert: |"

cat $CA_CERT | sed 's/^/  /'

echo

echo "ssl_key: |"

cat $SSL_KEY | sed 's/^/  /'

echo

echo "ssl_csr: |"

cat $SSL_CSR | sed 's/^/  /'

echo

echo "ssl_cert: |"

cat $SSL_CERT | sed 's/^/  /'

echo

fi

if [[ -n $K8S_SECRET_NAME ]]; then

  if [[ -n $K8S_SECRET_COMBINE_CA ]]; then

    [[ -z $SILENT ]] && echo "====> Adding CA to Cert file"

    cat ${CA_CERT} >> ${SSL_CERT}

  fi

  [[ -z $SILENT ]] && echo "====> Creating Kubernetes secret: $K8S_SECRET_NAME"

  kubectl delete secret $K8S_SECRET_NAME --ignore-not-found

  if [[ -n $K8S_SECRET_SEPARATE_CA ]]; then

    kubectl create secret generic \

    $K8S_SECRET_NAME \

    --from-file="tls.crt=${SSL_CERT}" \

    --from-file="tls.key=${SSL_KEY}" \

    --from-file="ca.crt=${CA_CERT}"

  else

    kubectl create secret tls \

    $K8S_SECRET_NAME \

    --cert=${SSL_CERT} \

    --key=${SSL_KEY}

  fi

  if [[ -n $K8S_SECRET_LABELS ]]; then

    [[ -z $SILENT ]] && echo "====> Labeling Kubernetes secret"

    IFS=$' \n\t' # We have to reset IFS or label secret will misbehave on some systems

    kubectl label secret \

      $K8S_SECRET_NAME \

      $K8S_SECRET_LABELS

  fi

fi

echo "4. 重命名服务证书"

mv ${CN}.key tls.key

mv ${CN}.crt tls.crt

复制以上代码另存为create_self-signed-cert.sh或者其他您喜欢的文件名。修改代码开头的CN(域名),如果需要使用ip去访问rancher server,那么需要给ssl证书添加扩展IP,多个IP用逗号隔开。如果想实现多个域名访问rancher server,则添加扩展域名(SSL_DNS),多个SSL_DNS用逗号隔开。

一键生成ssl自签名证书脚本的更多相关文章

  1. springboot配置SSL自签名证书

    1.证书生成 每一个JDK或者JRE里都有一个工具,叫做:keytool,安装了jdk或jre之后,配置好JAVA环境之后,就可以直接在控制台使用该命令生成自签名证书: 在控制台输入: keytool ...

  2. OPENSSL生成SSL自签证书

    OPENSSL生成SSL自签证书 目前,有许多重要的公网可以访问的网站系统(如网银系统)都在使用自签SSL证书,即自建PKI系统颁发的SSL证书,而不是部署支持浏览器的SSL证书. 支持浏览器的SSL ...

  3. Linux下生成openssl自签名证书

    校验证书是否被 CA 证书签名,正确的情况: $ openssl verify -CAfile /etc/kubernetes/cert/ca.pem /etc/kubernetes/cert/kub ...

  4. Nginx配置SSL自签名证书

    生成自签名SSL证书 生成RSA密钥(过程需要设置一个密码,记住这个密码) $ openssl genrsa -des3 -out domain.key 1024 拷贝一个不需要输入密码的密钥文件 $ ...

  5. IIS 使用OpenSSL 生成的自签名证书,然后使用SingalR 客户端访问Https 站点通信

    使用SignalR 的客户端去发送消息给使用 https 部署的站点,官方文档目前并没有详细的教程,所以在此记录下步骤: 使用管理员身份打开cmd 窗口,选择一个整数保存文件夹的地址,切换到对应的文件 ...

  6. ES配置生成SSL使用的证书

    cd /usr/local/elasticsearch/bin/ ./elasticsearch-certgen ##################################### Pleas ...

  7. 使用openssl生成SSL证书完全参考手册

    一般来说,配置HTTPS/SSL的步骤为: 1.生成足够强度的私钥.需要考虑:算法,广泛采用的一般是RSA.键长度,RSA默认为512,一般应选择2048.密码,虽然私钥不一定要加密存储,但是加密存储 ...

  8. windows下使用makecert命令生成自签名证书

    1.makecert命令路径 C:\Program Files (x86)\Windows Kits\8.1\bin\x64 2.生成一个自签名证书 makecert -r -pe -n " ...

  9. k8s集群———etcd-ssl自签名证书

    etcd集群master节点安装 ,自签名SSL证书 ##安装工具cfssl $ cat cfssl.sh curl -L https://pkg.cfssl.org/R1.2/cfssl_linux ...

随机推荐

  1. OpenGL位图函数

    [OpenGL位图函数] 1.OpenGL中glBitmap用于绘制一个二值阵列. When drawn, the bitmap is positioned relative to the curre ...

  2. Nginx源码完全注释(7)ngx_palloc.h/ngx_palloc.c

    ngx_palloc.h /* * NGX_MAX_ALLOC_FROM_POOL should be (ngx_pagesize - 1), i.e. 4095 on x86. * On Windo ...

  3. C#跨线程操作控件的最简单实现探究

    随着程序复杂度的提高,程序不可避免会出现多个线程,此时就很可能存在跨线程操作控件的问题. 跨线程操作UI控件主要有三类方式: 1.禁止系统的线程间操作检查.(此法不建议使用) 2.使用Invoke(同 ...

  4. 在OpenSSL中添加自定义加密算法

    一.简介 本文以添加自定义算法EVP_ssf33为例,介绍在OpenSSL中添加自定义加密算法的方法 二.步骤 1.修改crypto/object/objects.txt,注册算法OID,如下: rs ...

  5. Spring.net 事件的注入

    1.首先上客户端代码 static void Main(string[] args)        {            IApplicationContext ctx = ContextRegi ...

  6. 常用工具类——DatetimeUtil

    import java.text.DateFormat; import java.text.ParseException; import java.text.SimpleDateFormat; imp ...

  7. springmvc乱码配置

    web.xml配置 <!-- springmvc乱码 --> <filter> <filter-name>encodingFilter</filter-nam ...

  8. CodeForces 427A Police Recruits (水题)

    题意:给定 n 个数,有正数和-1, -1表示罪犯,正数表示招了几个警察,一个警察只能看一个罪犯,并且要按顺序,问你有多少罪犯逃脱. 析:很简单么,从开始扫到最后,把是正数就加上,是-1判断剩余警察大 ...

  9. (转)jQuery插件编写学习+实例——无限滚动

    原文地址:http://www.cnblogs.com/nuller/p/3411627.html 最近自己在搞一个网站,需要用到无限滚动分页,想想工作两年有余了,竟然都没有写过插件,实在惭愧,于是简 ...

  10. emacs-ide配置

    ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; ;; CEDET Configuration ;;;;;;;;;; ...