conf/CA/bootstrap.sh

   1 #!/bin/bash
   2 #########
   3 #  ============LICENSE_START====================================================
   4 #  org.onap.aaf
   5 #  ===========================================================================
   6 #  Copyright (c) 2017 AT&T Intellectual Property. All rights reserved.
   7 #  ===========================================================================
   8 #  Licensed under the Apache License, Version 2.0 (the "License");
   9 #  you may not use this file except in compliance with the License.
  10 #  You may obtain a copy of the License at
  11 #
  12 #       http://www.apache.org/licenses/LICENSE-2.0
  13 #
  14 #  Unless required by applicable law or agreed to in writing, software
  15 #  distributed under the License is distributed on an "AS IS" BASIS,
  16 #  WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  17 #  See the License for the specific language governing permissions and
  18 #  limitations under the License.
  19 #  ============LICENSE_END====================================================
  20 #
  21 # Streamlined AAF Bootstrap initial Cert
  22 # Removed Variables so it can be run for AutoDeployments
  23 #
  24 echo "Bootstrap AAF Certificate"
  25 mkdir -p private certs newcerts
  26 chmod 700 private
  27 chmod 755 certs newcerts
  28 touch index.txt
  29 echo "unique_subject = no" > index.txt.attr
  30 if [ ! -e ./serial ]; then
  31   echo $(date +%s)_$(shuf -i 0-1000000 -n 1)  > ./serial
  32 fi
  33
  34 NAME=aaf.bootstrap
  35 FQDN="${HOSTNAME:=$(hostname -f)}"
  36 FQI=aaf@aaf.osaaf.org
  37 SUBJECT="/CN=$FQDN/OU=$FQI`cat subject.aaf`"
  38 SIGNER_P12=$1
  39 SIGNER_KEY=/tmp/aaf_signer.key
  40 SIGNER_CRT=/tmp/aaf_signer.crt
  41 PASSPHRASE=$2
  42 if [ "PASSPHRASE" = "" ]; then
  43   PASSPHRASE="something easy"
  44 fi
  45 BOOTSTRAP_SAN=/tmp/$NAME.san
  46 BOOTSTRAP_KEY=/tmp/$NAME.key
  47 BOOTSTRAP_CSR=/tmp/$NAME.csr
  48 BOOTSTRAP_CRT=/tmp/$NAME.crt
  49 BOOTSTRAP_CHAIN=/tmp/$NAME.chain
  50 BOOTSTRAP_P12=$NAME.p12
  51 BOOTSTRAP_ISSUER=$NAME.issuer
  52
  53
  54 # If Signer doesn't exist, create Self-Signed CA
  55 if [ ! -e "$SIGNER_P12"  ]; then
  56   # Creating Signer CA
  57   openssl req -config openssl.conf -x509 -sha256 -extensions v3_ca \
  58     -newkey rsa:4096 -subj /CN="Signer$(cat subject.aaf)" \
  59     -keyout $SIGNER_KEY -out $SIGNER_CRT -days 365 -passout stdin << EOF
  60 $PASSPHRASE
  61 EOF
  62
  63   # Move to P12 (Signer)
  64   openssl pkcs12 -name RootCA -export -in $SIGNER_CRT -inkey $SIGNER_KEY -out $SIGNER_P12 -passin stdin -passout stdin << EOF
  65 $PASSPHRASE
  66 $PASSPHRASE
  67 $PASSPHRASE
  68 EOF
  69
  70 else
  71   # Get Private key from P12
  72   openssl pkcs12 -in $SIGNER_P12 -nocerts -nodes -passin stdin -passout stdin -out $SIGNER_KEY << EOF
  73 $PASSPHRASE
  74 $PASSPHRASE
  75 EOF
  76
  77   # Get Cert from P12
  78   openssl pkcs12 -in $SIGNER_P12 -clcerts -nokeys -passin stdin -out $SIGNER_CRT << EOF
  79 $PASSPHRASE
  80 EOF
  81
  82 fi
  83
  84 # SANS
  85 cp san.conf $BOOTSTRAP_SAN
  86 SANS=$FQDN
  87 if [ "$FQDN" -ne "$HOSTNAME" ]; then
  88   SANS="$SANS $HOSTNAME"
  89 fi
  90
  91 for ROOT in $(cat san_root.aaf); do
  92    SANS="$SANS $ROOT"
  93    for C in service locate oauth token introspect gui cm hello; do
  94      SANS="$SANS $C.$ROOT"
  95    done
  96 done
  97
  98 for C in service locate oauth token introspect gui cm hello; do
  99    SANS="$SANS aaf-$C"
 100    SANS="$SANS aaf-$C.onap"
 101 done
 102
 103 NUM=1
 104 for D in $SANS; do
 105     echo "DNS.$NUM = $D" >> $BOOTSTRAP_SAN
 106     NUM=$((NUM+1))
 107 done
 108
 109 # Create CSR
 110 openssl req -new -newkey rsa:2048 -nodes -keyout $BOOTSTRAP_KEY \
 111         -out $BOOTSTRAP_CSR -outform PEM -subj "$SUBJECT" \
 112         -passout stdin  << EOF
 113 $PASSPHRASE
 114 EOF
 115
 116 echo Sign it
 117 openssl ca -batch -config openssl.conf -extensions server_cert \
 118         -cert $SIGNER_CRT -keyfile $SIGNER_KEY \
 119         -policy policy_loose \
 120         -days 365 \
 121         -passin stdin \
 122         -out $BOOTSTRAP_CRT \
 123         -extfile $BOOTSTRAP_SAN \
 124         -infiles $BOOTSTRAP_CSR << EOF
 125 $PASSPHRASE
 126 EOF
 127
 128 # Make a P12
 129 # Add THIS Intermediate CA into chain
 130 cat $BOOTSTRAP_CRT
 131 cp $BOOTSTRAP_CRT $BOOTSTRAP_CHAIN
 132 cat $SIGNER_CRT >> $BOOTSTRAP_CHAIN
 133 cat $BOOTSTRAP_CHAIN
 134
 135 # Note: Openssl will pickup and load all Certs in the Chain file
 136 #openssl pkcs12 -name $FQI -export -in $BOOTSTRAP_CRT -inkey $BOOTSTRAP_KEY -CAfile $SIGNER_CRT -out $BOOTSTRAP_P12 -passin stdin -passout stdin << EOF
 137 openssl pkcs12 -name $FQI -export -in $BOOTSTRAP_CHAIN -inkey $BOOTSTRAP_KEY -out $BOOTSTRAP_P12 -passin stdin -passout stdin << EOF
 138 $PASSPHRASE
 139 $PASSPHRASE
 140 $PASSPHRASE
 141 EOF
 142
 143 # Make Issuer name
 144 ISSUER=$(openssl x509 -subject -noout -in $SIGNER_CRT | cut -c 10-)
 145 for I in ${ISSUER//\// }; do
 146   if [ -n "$CADI_X509_ISSUER" ]; then
 147     CADI_X509_ISSUER=", $CADI_X509_ISSUER"
 148   fi
 149   CADI_X509_ISSUER="$I$CADI_X509_ISSUER"
 150 done
 151 echo $CADI_X509_ISSUER > $BOOTSTRAP_ISSUER
 152
 153 # Cleanup
 154 rm -f $BOOTSTRAP_SAN $BOOTSTRAP_KEY $BOOTSTRAP_CSR $BOOTSTRAP_CRT $SIGNER_KEY $SIGNER_CRT $BOOTSTRAP_CHAIN