#!/bin/sh
#
# Generacja certyfikatu dla naszego Certificate Authority z jakimiś przykładowymi danymi 
# (Wygenerowany CA może być użyty do podpisu wielu certyfikatów serwerów)
#

# Generowanie klucza prywatnego dla CA
openssl genpkey -algorithm RSA -out ca_private.key
[ "$?" = 0 ] || exit 1

# Generowanie samopodpisanego certyfikatu dla CA
openssl req -new -x509 -key ca_private.key -out ca.crt <<EOF
PL
Kociomorskie
Lumia
aBunchOfKittens
Kiciownia
kicieFTW
kiciownia@kittens-ftw.pl
EOF
[ "$?" = 0 ] || exit 1

#
# Generacja certyfikatu dla naszego serwera za pomocą wcześniej stworzonego Certificate Authority
#

# Generowanie klucza prywatnego dla serwera
openssl genpkey -algorithm RSA -out sv_private.key
[ "$?" = 0 ] || exit 1

# Generowanie pliku konfiguracyjnego certyfikatu serwera 
# (Ważne jest tu ustawienie poprawnych domen)
cat > openssl.conf <<EOF
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
C = VA
ST = StackOverflow
L = SubjAltNameNotPresentInCert
O = jonashackt Corp
OU = Alices Dpt
CN = the-sacred-texts
[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = localhost
DNS.2 = kicia.pl
DNS.3 = *.kicia.pl
EOF
[ "$?" = 0 ] || exit 1

# Generowanie requesta o podpisanie certyfikatu dla serwera
openssl req -new -key sv_private.key -config openssl.conf -out sv_sign.req
[ "$?" = 0 ] || exit 1

# Podpisanie requesta przez nasze CA
openssl x509 -req -in sv_sign.req -extfile openssl.conf -extensions v3_req \
    -CA ca.crt -CAkey ca_private.key -CAcreateserial -out sv.crt -days 365
[ "$?" = 0 ] || exit 1

echo "Gotowe, utworzono:
    Certificate Authority:
        Klucz:          ca_private.key
        Certyfikat:     ca.crt (<- zainstalować w przeglądarce)
    Podpisano certyfikat dla serwera za pomocą powyższego CA:
        Klucz:          sv_private.key
        Certyfikat:     sv.crt

# Przykładowe użycie:
#events {
#    worker_connections 1024;
#}
#http {
#    server {
#        listen 80 default_server;
#        return 302 https://$host$server_name$request_uri;
#    }
#
#    server {
#        listen 443 ssl;
#        server_name your_domain.com;
#
#        ssl_certificate /etc/nginx/sv.crt;
#        ssl_certificate_key /etc/nginx/sv_private.key;
#    }
#}