Come posso creare il mio certificato jolly su Linux?

StackOverflow https://stackoverflow.com/questions/1822268

  •  10-07-2019
  •  | 
  •  

Domanda

Qualcuno sa se è possibile creare il mio certificato jolly sotto Ubuntu? Ad esempio, desidero che i seguenti domini utilizzino un certificato: 

https://a.example.com
https://b.example.com
https://c.example.com
È stato utile?

Soluzione

Segui uno del many passo istruzioni passo per passo per creare il proprio certificato con OpenSSL ma sostituire il "Nome comune" www.example.com con * .example.com .

Di solito devi tenere un po 'più di denaro pronto per ottenere un certificato per questo. 

> openssl req -new -x509 -keyout cert.pem -out cert.pem -days 365 -nodes
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Germany
Locality Name (eg, city) []:nameOfYourCity
Organization Name (eg, company) [Internet Widgits Pty Ltd]:nameOfYourCompany
Organizational Unit Name (eg, section) []:nameOfYourDivision
Common Name (eg, YOUR name) []:*.example.com
Email Address []:webmaster@example.com

(Siamo spiacenti, il mio howto preferito è un testo tedesco che non ho prontamente disponibile e che non riesco a trovare attualmente, quindi i collegamenti "molti")

Modifica nel 2017: la risposta originale a questa domanda è del 2009, quando la scelta dei certificati non includeva opzioni completamente automatizzate e gratuite come Let's Encrypt . Al giorno d'oggi (se il livello di certificazione "validato dal dominio" di Let's Encrypt è sufficiente per il tuo scopo) è banale ottenere certificati individuali per ogni sottodominio. Nel caso in cui sia necessario un livello di affidabilità superiore rispetto a quello convalidato dal dominio, i certificati jolly sono ancora un'opzione.

Sempre dal 2017, nota il commento qui sotto, di @ ha9u63ar:

Secondo RFC 2818 sec. 3 l'uso di CN per l'identificazione del nome host non è più raccomandato (obsoleto) Il soggetto nome alternativo (SAN) sembra essere la strada da percorrere.

La mia risposta a questo commento: confido che al giorno d'oggi qualsiasi CA che emette certificati Wildcard disporrà di un set adeguato di istruzioni. Per una soluzione rapida autofirmata, non mi preoccuperei. D'altra parte, con LetsEncrypt presente in questi giorni, è passato molto tempo da quando ho creato un certificato autofirmato. Accidenti, questa risposta mostra davvero la sua età.

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top