автоматизировать генерацию SSL-сертификатов

Спасибо, засмеялся я. Если вы знаете, что хотите создать несколько сертификатов, настройте частный ЦС.

Но, если вы настаиваете, создание самозаверяющего сертификата занимает всего одну строчку.

openssl req -newkey rsa:4096 -x509 -extensions x509_ca -keyout $HOME/ca.key -out $HOME/ca-$(date +%Y%m%d-%H%M).crt -days 3654

Это при условии, что вы правильно предварительно установили openssl.conf.

Вам нужно будет передать значения subjectAltName через переменные среды, однако их нельзя указать в командной строке.

То есть:

SSLSAN="email:copy,DNS:www.example.org" openssl req …

И в openssl.conf:

# Global:
SSLSAN = email:copy
…
[req]
subjectAltName = ${ENV::SSLSAN}
…
[ org1_policy ]
subjectAltName          = optional

Я думаю, что способ сделать это - создать отдельный каталог для вашего центра сертификации. Поместите туда свои сертификаты подписи CA и создайте файл конфигурации с большинством предварительно заполненных атрибутов (например, O, OU, DC, Alternative Subject и т. Д.). Затем сгенерируйте сертификат, содержащий желаемое имя профиля и полное доменное имя в командной строке.

У меня нет примера, но вы можете найти более подробную информацию в документации OpenSSL.

Вау, это намного больше, чем вам нужно. Вот что я делаю:

openssl genrsa -out /etc/ssl/private/${name}.pem 2048
openssl req -new -key /etc/ssl/private/${name}.pem -subj /CN=${name}/ -out /etc/ssl/${name}.csr
openssl x509 -req -days 3650 -in /etc/ssl/${name}.csr -signkey /etc/ssl/private/${name}.pem -out /etc/ssl/certs/${name}.pem