有没有人知道是否可以在Ubuntu下创建自己的通配符证书?例如,我希望以下域名使用一个证书:
https://a.example.com
https://b.example.com
https://c.example.com
答案 0 :(得分:60)
只需按照one many的step按步骤说明使用OpenSSL创建自己的证书,但将“公共名称”www.example.com替换为*.example.com 。
通常你需要保留更多钱才能获得证书。
> openssl req -new -x509 -keyout cert.pem -out cert.pem -days 365 -nodes
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Germany
Locality Name (eg, city) []:nameOfYourCity
Organization Name (eg, company) [Internet Widgits Pty Ltd]:nameOfYourCompany
Organizational Unit Name (eg, section) []:nameOfYourDivision
Common Name (eg, YOUR name) []:*.example.com
Email Address []:webmaster@example.com
(对不起,我最喜欢的howto是德语文本,我目前无法找到,目前找不到,因此'很多'链接)
2017年编辑:此问题的原始答案来自2009年,当时证书的选择不包括Let's Encrypt等完全自动化和免费的选项。现在(如果Let的加密的“域验证”认证级别足以满足您的目的),为每个子域获取单独的证书是微不足道的。如果您需要比域验证更高的信任级别,通配符证书仍然是一个选项。
同样从2017年起,请注意以下评论,@ ha9u63ar:
根据RFC 2818秒。 3不再推荐使用CN进行主机名识别(不建议使用)主题备用名称(SAN)似乎是要走的路。
我对此评论的回答:我相信现在任何颁发通配符证书的CA都会有一套适当的指令。对于自签名的快速修复,我不担心。另一方面,由于LetsEncrypt现在已经存在,自从我创建了一个自签名证书以来已经有很长一段时间了。哎呀,这个答案确实显示了它的年龄。