《利用SHELL脚本自动下载加载CFCA吊销列表文件v12.pdf》由会员分享,可在线阅读,更多相关《利用SHELL脚本自动下载加载CFCA吊销列表文件v12.pdf(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 How toHow to 利用利用 SHELLSHELL 脚本脚本 自动下载自动下载加载加载 CFCACFCA 吊销列表文件吊销列表文件 文档修订历史文档修订历史 版本号版本号 版本日期版本日期 修订内容摘要修订内容摘要 修订人修订人 1.0 2011-12-26 V10.2.4 测试环境通过 王思南 1.1 2012-12-29 V11.3.0 测试环境通过 王思南 1.2 2013-02-27 更新 V10、V11 版本脚本,新增删除旧版本 CRL 文件,避免老版本不删除 CRL文件造成硬盘空间不足。V10.2.4 和V11.3.0 测试通过 王思南 1 背景背景 CFCA 为银行业的官
2、方证书机构,在国内有较多用户。随着用户量的增长,CFCA 提供的 LADP 目录查询的方式来校验用户证书是否被注销的方式因为用户量过大导致维护难度过大,CFCA 已经不使用 LADP 目录查询的方式为银行用户提供 CRL 更新服务了,转而采用 HTTP 下载 CRL 文件的方式来提供证书吊销列表了。在使用F5做企业版网上银行双向认证的SSL加速的银行用户,需要校验企业用户的证书是否被注销,来保障应用安全。在 F5 配置 CRLDP 服务器的时候,F5 只提供了 LADP 目录的查询方式来配置 CRLDP 服务器,所以在使用 CFCA 证书的客户需要用户手动去CFCA 网站下载 CRL 文件并进
3、行更新,这大大增加了用户的维护工作。下面介绍一种使用SHELL脚本让F5自动下载并更新CRL文件,来减少用户的维护工作。2 实现方式实现方式 2.1 V10 版版 使用 crontable 命令配合 SHELL 脚本让 F5 自动去 CFCA 网站上下载并自动加载最新的吊销列表文件。脚本:脚本:#!/bin/bash#set-x echo=start downloading CFCA crl file=date#设定 CRL 文件存放目录 CRL_DIR=/config/ssl/ssl.crl#设定新下载 CRL 文件名称 CRLNAME=$(date+%s).crl echo The new
4、 CRL File is:$CRLNAME#设定 CRL 下载链接 CRLFILE=http:/210.74.41.87/crl1.crl#判断链接是否能访问 CURLCON=curl http:/210.74.41.87|wc-l if$CURLCON=0 then echo=CFCA CRL File download failed=else#把下载下来的最新 CRL 文件保存到/config/ssl/ssl.crl 下面 curl$CRLFILE$CRL_DIR/$CRLNAME echo=Loading new CFCA CRL File=#test 为 clientssl profi
5、le 的名字,根据配置自行修改#获取 TEST 的旧的 CRL 文件名 oldcrl=b profile clientssl test crl file show|cut-d:-f 2|sed s/t*/g#修改 TEST CRL 文件为新的 CRL 文件 b profile clientssl test crl file$CRLNAME b save all echo=CFCA CRL File successfully download=fi if$oldcrl=none then echo$oldcrl=none else#删除旧的 CRL 文件 rm-f/config/ssl/ssl.
6、crl/$oldcrl fi date echo=END=手动执行脚本:手动执行脚本:保存上面的脚本放到/config/ssl/ssl.crl 目录下面,这里脚本名为:getCRL.sh 修改脚本权限:chmod a+x/config/ssl/ssl.crl/getCRL.sh Crontab 配置:配置:举例:每周日晚上 23:59 执行更新脚本 执行:crontab e 在最后一行加入:59 23*0/config/ssl/ssl.crl/getCRL.sh 重启 crond 进程:bigstart restart crond 2.2 V11 版版#!/bin/bash#set-x dat
7、e CRLNAME=$(date+%s)echo The new downloading CRL File is:$CRLNAME CURLCON=curl http:/210.74.41.87|wc-l if$CURLCON=0 then echo=CFCA CRL File download failed=else#获取旧的 CRL 文件名称 OldCRLFILE=tmsh list ltm profile client-ssl test crl-file|grep crl-file|sed s/t*/g|cut-c10-echo OLDCRLFILE=$OldCRLFILE#创建新的 C
8、RL 文件 tmsh create sys file ssl-crl$CRLNAME source-path http:/210.74.41.87/crl1.crl echo=Loading new CFCA CRL File=#修改原先的 CLIENTSSL PROFILE CRL 为新的 CRL 文件 tmsh modify ltm profile client-ssl test crl-file$CRLNAME echo=CFCA CRL File successfully download=echo deleting old crl file#删除旧的 CRL 文件 tmsh delete sys file ssl-crl$OldCRLFILE tmsh save sys config fi date echo=END=