Weiß jemand, ob es möglich ist, ein eigenes Wildcard-Zertifikat unter Ubuntu zu erstellen? Zum Beispiel möchte ich die folgenden Domains ein Zertifikat verwenden:Wie erstelle ich ein eigenes Wildcard-Zertifikat unter Linux?
https://a.example.com
https://b.example.com
https://c.example.com
Folgen Sie einfach one der manystep Schritt-Anleitungen für Ihr eigenes Zertifikat mit OpenSSL zu schaffen, sondern die „Common Name“ www.example.com mit *.example.com ersetzen.
Normalerweise muss man etwas mehr Geld bereithalten, um ein Zertifikat dafür zu bekommen.
> openssl req -new -x509 -keyout cert.pem -out cert.pem -days 365 -nodes
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Germany
Locality Name (eg, city) []:nameOfYourCity
Organization Name (eg, company) [Internet Widgits Pty Ltd]:nameOfYourCompany
Organizational Unit Name (eg, section) []:nameOfYourDivision
Common Name (eg, YOUR name) []:*.example.com
Email Address []:[email protected]
(Sorry, mein Lieblings Howto ist ein Deutsch Text, ich habe nicht ohne weiteres verfügbar und finden derzeit nicht, so dass die ‚viele‘ Links)
bearbeiten im Jahr 2017: Die Die ursprüngliche Antwort auf diese Frage stammt aus dem Jahr 2009, als die Auswahl für Zertifikate keine vollautomatischen und kostenlosen Optionen wie Let's Encrypt enthielt. Heutzutage (wenn die "domänenvalidierte" Zertifizierungsstufe von Let's Encrypt ist genug für Ihren Zweck) ist es trivial, individuelle Zertifikate für jede einzelne Subdomain zu erhalten. Wenn Sie eine höhere Vertrauensstufe als die Domain-Validierung benötigen, sind Platzhalterzertifikate immer noch eine Option.
ab 2017 Beachten Sie auch, die unten Kommentar von @ ha9u63ar:
Nach RFC 2818 sec. 3 mit CN für die Hostnamenidentifizierung wird nicht mehr empfohlen (veraltet) Subject Alternative Name (SAN) scheint der Weg zu sein.
Meine Antwort auf diesen Kommentar: Ich vertraue darauf, dass heutzutage alle CAs, die Wildcard-Zertifikate ausstellen, über die richtigen Anweisungen verfügen. Für eine selbstsignierte schnelle Lösung würde ich mir keine Sorgen machen. Auf der anderen Seite, mit LetsEncrypt in diesen Tagen, ist es lange her, seit ich ein selbstsigniertes Zertifikat erstellt habe. Mann, diese Antwort zeigt wirklich ihr Alter.
Kann ich das von jedem Host ausführen oder nur von dem, auf dem sich meine Sites befinden? –
Sie können das auf jedem Host verwenden. Aber wenn die Anfrage an www.example.net geht, während das Zertifikat für * .example.com ist (beachten Sie die net/com-Differenz), erhalten Sie die übliche nicht übereinstimmende Zertifikatswarnung. Sie können jedoch verschiedene Maschinen verwenden, von denen eine www.example.com, die andere a.example.com, b.example.com usw. verwendet und alle Maschinen das gleiche Zertifikat verwenden. Es bricht nur, wenn Sie mit einem nicht übereinstimmenden Domain-Namen darauf zugreifen. –
Ich glaube, das funktioniert für "https: // xyz.example.com", aber nicht für "https: // example.com". Google für die SAN-Erweiterung (subjectAltName). – mivk