Skip to main content
 首页 » 编程设计

certificate之如何在 Linux 上创建自己的通配符证书

2024年09月07日29dudu

有谁知道是否可以在 Ubuntu 下创建我自己的通配符证书?例如,我希望以下域使用一个证书:

https://a.example.com 
https://b.example.com 
https://c.example.com 

请您参考如下方法:

只需关注 onemany step使用 OpenSSL 创建自己的证书但替换“通用名称”的分步说明 www.example.com*.example.com .

通常,您必须准备多一点钱才能为此获得证书。

> openssl req -new -x509 -keyout cert.pem -out cert.pem -days 365 -nodes 
Country Name (2 letter code) [AU]:DE 
State or Province Name (full name) [Some-State]:Germany 
Locality Name (eg, city) []:nameOfYourCity 
Organization Name (eg, company) [Internet Widgits Pty Ltd]:nameOfYourCompany 
Organizational Unit Name (eg, section) []:nameOfYourDivision 
Common Name (eg, YOUR name) []:*.example.com 
Email Address []:webmaster@example.com 

(抱歉,我最喜欢的 howto 是我没有现成的并且目前找不到的德语文本,因此有“许多”链接)

2017 年编辑:这个问题的原始答案是从 2009 年开始的,当时证书的选择不包括像 Let's Encrypt 这样的全自动和免费选项。 .如今(如果 Let's Encrypt 的“域验证”认证级别足以满足您的目的),为每个子域获取单独的证书是微不足道的。如果您需要比域验证更高的信任级别,仍然可以选择通配符证书。

同样从 2017 年开始,请注意以下评论,@ha9u63ar:

根据 RFC 2818 秒。 3 不再推荐使用 CN 进行主机名识别(已弃用)主题备用名称 (SAN) 似乎是要走的路。

我对此评论的回答:我相信现在任何颁发通配符证书的 CA 都会有一套正确的说明。对于自签名快速修复,我不担心。另一方面,随着 LetsEncrypt 的出现,我已经很久没有创建自签名证书了。哎呀,这个答案确实显示了它的年龄。