#!/bin/sh
# Copyright (c) Thomas Bez 2004
# See http://www.bez.tedesca.net/homeoff/antispam.html for details.

CA=ca
### Hier anpassen!
WEBSERVER=www.mydomain.net
MAILSERVER=mail.mydomain.net
MAILSERVER_INTRA=mail.intra.mydomain.net
POPSERVER=pop.mydomain.net

# gen_CA nur beim ersten Mal auf "yes" setzen!
gen_CA=yes
gen_WEBSERVER=yes
gen_MAILSERVER=yes
gen_MAILSERVER_INTRA=yes
gen_POPSERVER=yes

keysize=2048
expiry=3653
expiry_ca=3653

cd /etc/ssl || exit 1
mkdir private
mkdir certs

if [ $gen_CA = yes ]; then
echo Zuerst erzeugen wir eine private Certification Authority CA.
echo Eine möglichst lange und sichere Passphrase benutzen!
openssl genrsa -des3 -out $CA.key 4096
echo Make .crt:
openssl req -new -x509 -days $expiry_ca -key $CA.key -out $CA.crt
echo Make .p12:
openssl pkcs12 -export -clcerts -in $CA.crt -inkey $CA.key -out $CA.p12
chmod 400 $CA.key
mv $CA.key private
chmod 444 $CA.crt $CA.p12
mv $CA.crt $CA.p12 certs
fi

rm -fr ca.db.index ca.db.index.old ca.db.serial ca.db.serial.old ca.db.certs
touch ca.db.index
echo 01 >ca.db.serial
mkdir ca.db.certs

cat >ca.config <<EOT
[ ca ]
default_ca= CA_own
[ CA_own ]
dir= /etc/ssl
certs= /etc/ssl/certs
new_certs_dir= /etc/ssl/ca.db.certs
database= /etc/ssl/ca.db.index
serial= /etc/ssl/ca.db.serial
RANDFILE= /etc/ssl/ca.db.rand
certificate= /etc/ssl/certs/$CA.crt
private_key= /etc/ssl/private/$CA.key
default_days= $expiry
default_crl_days= 30
default_md= md5
preserve= no
policy= policy_anything
[ policy_anything ]
countryName= optional
stateOrProvinceName= optional
localityName= optional
organizationName= optional
organizationalUnitName= optional
commonName= supplied
emailAddress= optional
[ req_distinguished_name ]
### Hier anpassen!
countryName                     = Country Name (2 letter code)
countryName_default             = DE
countryName_min                 = 2
countryName_max                 = 2
stateOrProvinceName             = State or Province Name (full name)
stateOrProvinceName_default     = Meine_Region
localityName                    = Locality Name (eg, city)
localityName_default            = Meine_Stadt
0.organizationName              = Organization Name (eg, company)
0.organizationName_default      = Meine_Firma
organizationalUnitName          = Organizational Unit Name (eg, section)
organizationalUnitName_default  = Network
commonName                      = Common Name (enter here: www.mydomain.net, mail.mydomain.net etc.)
commonName_max                  = 64
commonName_default              = mydomain.net
emailAddress                    = Email Address
emailAddress_max                = 64
emailAddress_default            = myself@mydomain.net
[ req_attributes ]
challengePassword               = A challenge password
challengePassword_min           = 4
challengePassword_max           = 20
unstructuredName                = An optional company name
EOT

echo Alle übrigen Passphrasen können kurz sein.

if [ $gen_MAILSERVER = yes ]; then
echo Wir erzeugen einen Schlüssel für den Mailserver.
echo $MAILSERVER
openssl genrsa -des3 -out $MAILSERVER.tmp $keysize
echo Damit keine Abfrage einer Paßphrase beim Start des Mailservers kommt, wird sie aus dem privaten Serverschlüssel gelöscht.
openssl rsa -in $MAILSERVER.tmp -out $MAILSERVER.key
openssl req -new -days $expiry -key $MAILSERVER.key -out $MAILSERVER.csr
echo Alle Schlüssel .csr signieren wir mit unserer eigenen CA. Achtung: lange Passphrase des CA benutzen!
echo Als CommonName CN angeben: $MAILSERVER
openssl ca -config ca.config -out $MAILSERVER.crt -infiles $MAILSERVER.csr
openssl verify -CAfile certs/$CA.crt $MAILSERVER.crt
echo Schlüssel für Clients, z.B. Outlook Express:
openssl pkcs12 -export -clcerts -in $MAILSERVER.crt -inkey $MAILSERVER.key -out $MAILSERVER.p12
fi

if [ $gen_MAILSERVER_INTRA = yes ]; then
echo Wenn wir einen internen Mailserver betreiben wollen, braucht dieser ebenfalls einen Schlüssel:
echo $MAILSERVER_INTRA
openssl genrsa -des3 -out $MAILSERVER_INTRA.tmp $keysize
openssl rsa -in $MAILSERVER_INTRA.tmp -out $MAILSERVER_INTRA.key
openssl req -new -days $expiry -key $MAILSERVER_INTRA.key -out $MAILSERVER_INTRA.csr
echo Alle Schlüssel .csr signieren wir mit unserer eigenen CA. Achtung: lange Passphrase des CA benutzen!
echo Als CommonName CN angeben: $MAILSERVER_INTRA
openssl ca -config ca.config -out $MAILSERVER_INTRA.crt -infiles $MAILSERVER_INTRA.csr
openssl verify -CAfile certs/$CA.crt $MAILSERVER_INTRA.crt
echo Zu guter Letzt notieren wir uns noch den Fingerprint vom Schlüssel $MAILSERVER_INTRA.crt:
openssl x509 -noout -fingerprint -in $MAILSERVER_INTRA.crt >$MAILSERVER_INTRA.fingerprint
cat $MAILSERVER_INTRA.fingerprint
fi

if [ $gen_WEBSERVER = yes ]; then
echo Schlüssel für Webserver:
echo $WEBSERVER
openssl genrsa -des3 -out $WEBSERVER.tmp $keysize
openssl rsa -in $WEBSERVER.tmp -out $WEBSERVER.key
openssl req -new -days $expiry -key $WEBSERVER.key -out $WEBSERVER.csr
echo Alle Schlüssel .csr signieren wir mit unserer eigenen CA. Achtung: lange Passphrase des CA benutzen!
echo Als CommonName CN angeben: $WEBSERVER
openssl ca -config ca.config -out $WEBSERVER.crt -infiles $WEBSERVER.csr
openssl verify -CAfile certs/$CA.crt $WEBSERVER.crt
echo Schlüssel für Clients, z.B. Outlook Express:
openssl pkcs12 -export -clcerts -in $WEBSERVER.crt -inkey $WEBSERVER.key -out $WEBSERVER.p12
fi

if [ $gen_POPSERVER = yes ]; then
echo PEM-Schlüssel für Courier generieren.
echo $POPSERVER
openssl genrsa -des3 -out $POPSERVER.tmp $keysize
openssl rsa -in $POPSERVER.tmp -out $POPSERVER.key
openssl req -new -days $expiry -key $POPSERVER.key -out $POPSERVER.csr
echo Alle Schlüssel .csr signieren wir mit unserer eigenen CA. Achtung: lange Passphrase des CA benutzen!
echo Als CommonName CN angeben: $POPSERVER
openssl ca -config ca.config -out $POPSERVER.crt -infiles $POPSERVER.csr
openssl verify -CAfile certs/$CA.crt $POPSERVER.crt
echo PEM-Schlüssel erzeugen:
cat $POPSERVER.key $POPSERVER.crt >$POPSERVER.pem
openssl gendh >>$POPSERVER.pem
echo Schlüssel für Clients, z.B. Outlook Express:
openssl pkcs12 -export -clcerts -in $POPSERVER.crt -inkey $POPSERVER.key -out $POPSERVER.p12
fi

rm *.tmp
chmod 400 *.key *.csr *.pem
chmod 444 *.crt
chmod 444 *.p12
rm -fr ca.db.index ca.db.index.old ca.db.serial ca.db.serial.old ca.db.certs
rm -f ca.config

mv *.key *.pem private
mv *.crt *.csr *.p12 certs
tar cfv sslkeys.tar private/*.key private/*.pem certs/*.crt certs/*.p12
echo "transfer following files to the external mailserver:" certs/$CA.crt certs/$MAILSERVER.crt certs/$MAILSERVER_INTRA.crt private/$MAILSERVER.key
echo "transfer following files to the internal mailserver:" certs/$CA.crt certs/$MAILSERVER.crt certs/$MAILSERVER_INTRA.crt private/$MAILSERVER_INTRA.key
echo "do not forget to notify postfix on the external mailserver of the fingerprint in" certs/$MAILSERVER_INTRA.fingerprint