Как создать собственный подстановочный сертификат в Linux?

Ответ 1

Просто следуйте один из many шаг пошаговые инструкции для создания собственного сертификата с OpenSSL, но замените "Common Name" www.example.com на *.example.com.

Обычно вам нужно немного больше денег, чтобы получить сертификат для этого.

> openssl req -new -x509 -keyout cert.pem -out cert.pem -days 365 -nodes
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Germany
Locality Name (eg, city) []:nameOfYourCity
Organization Name (eg, company) [Internet Widgits Pty Ltd]:nameOfYourCompany
Organizational Unit Name (eg, section) []:nameOfYourDivision
Common Name (eg, YOUR name) []:*.example.com
Email Address []:[email protected]

(Извините, мой любимый howto - немецкий текст, который я не имею в наличии и не могу найти в настоящее время, таким образом, "многие" ссылки)

Изменить в 2017 году: исходный ответ на этот вопрос - с 2009 года, когда выбор для сертификатов не включал полностью автоматизированные и бесплатные варианты, такие как Let Encrypt. В настоящее время (если для вашей цели достаточно сертифицированного уровня сертификации Let-Encrypt), тривиально получить отдельные сертификаты для каждого субдомена. Если вам нужен более высокий уровень доверия, чем подтвержденный доменом, сертификаты подстановочных знаков по-прежнему являются опцией.

Также с 2017 года обратите внимание на комментарий ниже: @ha9u63ar:

Согласно RFC 2818 сек. 3, использующий CN для идентификации имени хоста, больше не рекомендуется (устарело). Альтернативое имя субъекта (SAN) похоже на путь.

Мой ответ на этот комментарий: Я верю, что в настоящее время любые ЦС, выдающие сертификаты Wildcard, будут иметь соответствующий набор инструкций. Для самозаверяющего быстрого исправления я бы не стал беспокоиться. С другой стороны, с LetsEncrypt в эти дни, я давно не создал самозаверяющий сертификат. Да, этот ответ действительно показывает его возраст.