Comment puis-je créer mon propre certificat wildcard sur Linux?

Personne ne sait si il est possible de créer mon propre certificat générique sous Ubuntu? Par exemple, je veux les domaines suivants pour utiliser un certificat:

https://a.example.com
https://b.example.com
https://c.example.com
InformationsquelleAutor Thierry Lam | 2009-11-30
  1. 65

    Il suffit de suivre un de la de nombreux étape par étape les instructions pour créer votre propre certificat avec OpenSSL, mais en remplaçant le "Nom Commun" www.example.com avec *.example.com.

    Habituellement, vous avez à garder un peu plus d'argent de prêt pour obtenir un certificat pour ce.

    > openssl req -new -x509 -keyout cert.pem -out cert.pem -days 365 -nodes
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Germany
Locality Name (eg, city) []:nameOfYourCity
Organization Name (eg, company) [Internet Widgits Pty Ltd]:nameOfYourCompany
Organizational Unit Name (eg, section) []:nameOfYourDivision
Common Name (eg, YOUR name) []:*.example.com
Email Address []:[email protected]

    (Désolé, mon préféré howto est un texte allemand que je n'ai pas facilement disponibles et ne peuvent pas trouver actuellement, donc le "beaucoup" liens)

    Modifier en 2017: l'original de La réponse à cette question est à partir de 2009, lorsque le choix pour les certificats ne comprennent pas entièrement automatisé et gratuit, comme les options de Let's Encrypt. De nos jours (si le "domain-validated" niveau de certification de Let's Encrypt est assez pour votre objectif) il est trivial d'obtenir des certificats individuels pour chaque sous-domaine. Dans le cas où vous besoin d'un plus haut niveau de confiance de domaine validé, les certificats wildcard sont toujours une option.

    Également à partir de 2017, note le commentaire ci-dessous, par @ha9u63ar:

    Selon la RFC 2818 sec. 3 à l'aide de CN pour le nom d'hôte de l'identification n'est pas recommandé plus (obsolète) autre Nom de l'Objet (SAN) semble être la voie à suivre.

    Ma réponse à ce commentaire: j'ai confiance que, de nos jours tout CAs que la question Générique certs aura un bon jeu d'instructions. Pour un auto-signé quick fix, je n'avais pas de soucis. D'autre part, avec LetsEncrypt être autour de ces jours, il a été un long temps depuis que j'ai créé un certificat auto-signé. Gee, cette réponse montre vraiment son âge.

    • Puis-je exécuter à partir de n'importe quel hôte ou seulement l'un d'où mes sites résider sur?
    • Vous pouvez l'utiliser sur n'importe quel hôte. Mais si la demande est transmise à http://www.example.net tandis que le certificat est pour *.example.com (note du net/com différence) vous aurez l'habitude de la non-correspondance-avertissement de certificat. Cependant, vous pouvez avoir un certain nombre de machines différentes, une portion de http://www.example.com, un autre a.example.com, b.example.com etc. et toutes les machines utilisent le même certificat. Il des pauses lorsque vous y accédez avec une non-correspondance de nom de domaine.
    • Je crois que cela fonctionne pour https://xyz.example.com, mais pas pour https://example.com. Google pour les SAN (subjectAltName) de l'extension.
    • j'ai installé le SSL dans un de mes sous-domaine. (api3.veebo.com) . Je ne me souviens pas si j'ai utilisé le joker option de certificat lors de la génération du certificat auto-signé. maintenant, quand j'ai essayé d'installer SSL dans un autre domaine (api2.veebo.com) ,sa ne fonctionne pas. Est-il une autre solution?
    • ne sais pas ce que j'ai fait", combiné avec "ça ne fonctionne pas" n'est pas assez pour vous aider rapidement. Aussi, que ce n'est pas une clarification de cette réponse, mais plutôt d'une question sans rapport, un commentaire n'est pas le meilleur endroit pour discuter. Si vous postez une question, n'oubliez pas de fournir plus de détails à propos de ce que vous avez fait et ce message d'erreur que vous obtenez.
    • Juste pour ajouter un tutoriel allemands que @OlafKock mentionné (pour les gens comme moi), je suppose que c'est ici qui est très complet et compréhensible (à mon humble avis).
    • Selon la RFC 2818 sec. 3 à l'aide de CN pour le nom d'hôte identificate est recommandé de ne pas plus (obsolète) autre Nom de l'Objet (SAN) semble être la voie à suivre.

    InformationsquelleAutor Olaf Kock