建站
咨詢(xún)
售后
建站咨詢(xún)
新聞中心
!!!! 火狐瀏覽器對(duì)多CN的通配符識(shí)別有問(wèn)題,只識(shí)別第一個(gè),所以建議用備用主機(jī)名(DNS)方式,。已測(cè)試有效 !!!!
10年積累的成都做網(wǎng)站、網(wǎng)站制作經(jīng)驗(yàn),可以快速應(yīng)對(duì)客戶(hù)對(duì)網(wǎng)站的新想法和需求。提供各種問(wèn)題對(duì)應(yīng)的解決方案。讓選擇我們的客戶(hù)得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識(shí)你,你也不認(rèn)識(shí)我。但先網(wǎng)站設(shè)計(jì)后付款的網(wǎng)站建設(shè)流程,更有廣東免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。
openssl自建CA默認(rèn)簽署的是單域名證書(shū),因?yàn)閱闻_(tái)服務(wù)器上有多個(gè)https域名,有的時(shí)候希望一個(gè)證書(shū)能解決所有問(wèn)題,如果是同一個(gè)頂級(jí)域名,那么泛域名(通配符)證書(shū)正好適合你
不需要修改openssl.cnf,其他有的擴(kuò)展最好都注釋掉,不注釋也不影響
只要在輸入域名(CN)的時(shí)候,把www.baidu.com 改成 *.baidu.com
!!這里要注意, a.b.baidu.com 要寫(xiě)成 *.b.baidu.com
!!另外, 經(jīng)過(guò)測(cè)試,泛域名可以和多CN方式同時(shí)使用,在多CN填寫(xiě)域名的時(shí)候用*.xxx.com代替。
至于備用主機(jī)名方式,大家可以自行測(cè)試。
其他的步驟:
openssl.cnf中會(huì)要求部分文件及目錄存在:
[root@localhost]#mkdir -p CA/{certs,crl,newcerts,private}
[root@localhost]# touch CA/index.txt
[root@localhost]#echo 00 > CA/serial
1.生成ca.key并自簽署
openssl req -new -x509 -days 3650 -keyout ca.key -out ca.crt -config openssl.cnf
2.生成server.key(名字不重要)
openssl genrsa -out server.key 2048
3.生成證書(shū)簽名請(qǐng)求
openssl req -new -key server.key -out server.csr -config openssl.cnf
Common Name 就是在這一步填寫(xiě)的,*.baidu.com
4.使用自簽署的CA,簽署server.scr
openssl ca -days 180 -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
#輸入第一步設(shè)置的密碼,一直按y就可以了
server.crt server.key就是web服務(wù)器中使用的文件。
NGINX 雙向認(rèn)證
如果要做NGINX客戶(hù)端證書(shū)驗(yàn)證的話(huà),重復(fù)2、3、4,并執(zhí)行下面命令生成個(gè)人證書(shū)
5.生成個(gè)人證書(shū)
openssl pkcs12 -export -inkey xxx.key -in xxx.crt -out xxx.p12
將個(gè)人證書(shū)導(dǎo)入pc,同時(shí)在nginx ssl基礎(chǔ)上增加設(shè)置:
ssl_verify_client on;
ssl_client_certificate ca.crt;
文章標(biāo)題:openssl簽署自己的泛域名(通配符)證書(shū)
文章位置:http://www.ef60e0e.cn/article/gdjcio.html
