Как мне создать свой собственный подстановочный сертификат в Linux?

StackOverflow https://stackoverflow.com/questions/1822268

  •  10-07-2019
  •  | 
  •  

Вопрос

Кто-нибудь знает, возможно ли создать собственный сертификат подстановки под Ubuntu? Например, я хочу, чтобы следующие домены использовали один сертификат: 

https://a.example.com
https://b.example.com
https://c.example.com
Это было полезно?

Решение

Просто следуйте одному из много пошаговые инструкции по созданию собственного сертификата с OpenSSL, но замените " Common Name " www.example.com с *. example.com .

Обычно вам нужно держать немного больше денег, чтобы получить сертификат для этого. 

> openssl req -new -x509 -keyout cert.pem -out cert.pem -days 365 -nodes
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Germany
Locality Name (eg, city) []:nameOfYourCity
Organization Name (eg, company) [Internet Widgits Pty Ltd]:nameOfYourCompany
Organizational Unit Name (eg, section) []:nameOfYourDivision
Common Name (eg, YOUR name) []:*.example.com
Email Address []:webmaster@example.com

(Извините, мое любимое практическое руководство - это текст на немецком языке, которого у меня нет в наличии и который я не могу найти в настоящее время, поэтому ссылки «много»)

Редактировать в 2017 году. Первоначальный ответ на этот вопрос был с 2009 года, когда выбор сертификатов не включал полностью автоматизированные и бесплатные опции, такие как Давайте зашифруем . В настоящее время (если для вашей цели достаточно «сертифицированного домена» уровня сертификации Let's Encrypt ), тривиально получить отдельные сертификаты для каждого субдомена. В случае, если вам нужен более высокий уровень доверия, чем при проверке домена, сертификаты с подстановочными знаками по-прежнему возможны.

Также с 2017 года обратите внимание на комментарий ниже, @ ha9u63ar:

Согласно RFC 2818 сек. 3 использование CN для идентификации имени хоста больше не рекомендуется (устарело). Альтернативное имя субъекта (SAN), похоже, является подходящим вариантом.

Мой ответ на этот комментарий: я верю, что в настоящее время любой ЦС, выдающий сертификаты Wildcard, будет иметь надлежащий набор инструкций. За самозаверяющее быстрое исправление я бы не беспокоился. С другой стороны, с LetsEncrypt в эти дни, я давно не создавал самозаверяющий сертификат. Ну и дела, этот ответ действительно показывает его возраст.

Лицензировано под: CC-BY-SA с атрибуция
Не связан с StackOverflow
scroll top