openssl签署自己的泛域名(通配符)证书-创新互联

!!!! 火狐浏览器对多CN的通配符识别有问题,只识别第一个,所以建议用备用主机名(DNS)方式,。已测试有效 !!!!

站在用户的角度思考问题,与客户深入沟通,找到文安网站设计与文安网站推广的解决方案,凭借多年的经验,让设计与互联网技术结合,创造个性化、用户体验好的作品,建站类型包括:网站设计、网站制作、企业官网、英文网站、手机端网站、网站推广、域名注册网站空间、企业邮箱。业务覆盖文安地区。

openssl自建CA默认签署的是单域名证书,因为单台服务器上有多个https域名,有的时候希望一个证书能解决所有问题,如果是同一个顶级域名,那么泛域名(通配符)证书正好适合你


不需要修改openssl.cnf,其他有的扩展最好都注释掉,不注释也不影响

只要在输入域名(CN)的时候,把www.baidu.com 改成 *.baidu.com
!!这里要注意, a.b.baidu.com 要写成 *.b.baidu.com

!!另外, 经过测试,泛域名可以和多CN方式同时使用,在多CN填写域名的时候用*.xxx.com代替。
至于备用主机名方式,大家可以自行测试。

其他的步骤:

openssl.cnf中会要求部分文件及目录存在:

[root@localhost]#mkdir -p CA/{certs,crl,newcerts,private}

[root@localhost]# touch CA/index.txt

[root@localhost]#echo 00 > CA/serial


1.生成ca.key并自签署

openssl req -new -x509 -days 3650 -keyout ca.key -out ca.crt -config openssl.cnf

2.生成server.key(名字不重要)
openssl genrsa -out server.key 2048

3.生成证书签名请求
openssl req -new -key server.key -out server.csr -config openssl.cnf
Common Name 就是在这一步填写的,*.baidu.com


4.使用自签署的CA,签署server.scr
openssl ca -days 180 -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
#输入第一步设置的密码,一直按y就可以了


server.crt server.key就是web服务器中使用的文件。

NGINX 双向认证

如果要做NGINX客户端证书验证的话,重复2、3、4,并执行下面命令生成个人证书
5.生成个人证书
openssl pkcs12 -export -inkey xxx.key -in xxx.crt -out xxx.p12

将个人证书导入pc,同时在nginx ssl基础上增加设置:
ssl_verify_client on;
ssl_client_certificate ca.crt;


另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


文章标题:openssl签署自己的泛域名(通配符)证书-创新互联
网页路径:http://pwwzsj.com/article/dphddp.html