有谁知道是否可以在 Ubuntu 下创建我自己的通配符证书?例如,我希望以下域使用一个证书:
https://a.example.com
https://b.example.com
https://c.example.com
请您参考如下方法:
只需关注 one的many step使用 OpenSSL 创建自己的证书但替换“通用名称”的分步说明 www.example.com
与 *.example.com
.
通常,您必须准备多一点钱才能为此获得证书。
> openssl req -new -x509 -keyout cert.pem -out cert.pem -days 365 -nodes
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Germany
Locality Name (eg, city) []:nameOfYourCity
Organization Name (eg, company) [Internet Widgits Pty Ltd]:nameOfYourCompany
Organizational Unit Name (eg, section) []:nameOfYourDivision
Common Name (eg, YOUR name) []:*.example.com
Email Address []:webmaster@example.com
(抱歉,我最喜欢的 howto 是我没有现成的并且目前找不到的德语文本,因此有“许多”链接)
2017 年编辑:这个问题的原始答案是从 2009 年开始的,当时证书的选择不包括像 Let's Encrypt 这样的全自动和免费选项。 .如今(如果 Let's Encrypt 的“域验证”认证级别足以满足您的目的),为每个子域获取单独的证书是微不足道的。如果您需要比域验证更高的信任级别,仍然可以选择通配符证书。
同样从 2017 年开始,请注意以下评论,@ha9u63ar:
根据 RFC 2818 秒。 3 不再推荐使用 CN 进行主机名识别(已弃用)主题备用名称 (SAN) 似乎是要走的路。
我对此评论的回答:我相信现在任何颁发通配符证书的 CA 都会有一套正确的说明。对于自签名快速修复,我不担心。另一方面,随着 LetsEncrypt 的出现,我已经很久没有创建自签名证书了。哎呀,这个答案确实显示了它的年龄。