自签发证书有一个好处,可以一次签很久很久,手动操作一次后面基本上无需烦心。不需要每隔三个月一次,必须搞自动化。
如何自签发证书在很久以前有过备忘录,不过只是记的单域名,没有通配符。
这里稍微扩展一下,然后的话主要还是记载如何使Gcore信任源端的自签发证书。
没有技术含量,仅作备忘。
自签发证书(ecc)
生成通配符域名test.com *.test.com。
如果当前位置不存在CA私钥ca-private.pem,那么会自行生成。
如果当前位置不存在CA公钥ca.pem,那么会根据CA私钥生成。
如果当前位置不存在私钥server-private.pem,那么会自行生成。
DOMAIN="test.com"
mkdir -p /usr/workspace/ssl/
cd /usr/workspace/ssl
wget https://nicelee.top/sources/scripts/sign-ecc.sh
chmod +x sign-ecc.sh
./sign-ecc.sh "$DOMAIN"
mv "$DOMAIN/full_chain.pem" "server-public.pem"
# 私钥路径 "./server-private.pem"
# 公钥路径 "./server-public.pem"
# CA私钥路径 "./ca-private.pem"
# CA公钥路径 "./ca.pem"
自签发证书(rsa)
生成通配符域名test.com *.test.com。
如果当前位置不存在CA私钥ca.key,那么会自行生成。
如果当前位置不存在CA公钥ca.pem,那么会根据CA私钥生成。
如果当前位置不存在私钥server.key,那么会自行生成。
DOMAIN="test.com"
mkdir -p /usr/workspace/ssl/
cd /usr/workspace/ssl
wget https://nicelee.top/sources/scripts/sign-rsa.sh
chmod +x sign-rsa.sh
./sign-rsa.sh "$DOMAIN"
mv "$DOMAIN/full_chain.pem" "server.pem"
# 私钥路径 "./server.key"
# 公钥路径 "./server.pem"
# CA私钥路径 "./ca.key"
# CA公钥路径 "./ca.pem"
Gcore 信任自签发CA证书
在Web端没法配置(至少我没有找到),需要通过API进行设置。
参考API-CA-certificates
curl -H 'Authorization: APIKey 123$foobar' -H "Accept: application/json" \
-H "Content-type: application/json" -X POST \
-d '{"name": "Self Signed CA cert","sslCertificate": "-----BEGIN CERTIFICATE-----\n...\n-----END CERTIFICATE-----\n"}' \
https://api.gcore.com/cdn/sslCertificates