那些遇到过的问题

如何使用一个 SSL 证书保护根域和通配符子域?

Que*_*low 5 https openssl ssl-certificate

我试图生成自签名证书,以确保这两个example.com*.example.com。看看这个这个问题的答案,似乎有同样数量的人同意和不同意这是否可以做到。但是,来自认证机构的网站似乎表明可以这样做。

目前,这些是添加到我的 openssl 配置文件中的更改:

[req]
req_extensions = v3_req

[req_distinguished_name]
commonName = example.com

[v3_req]
subjectAltName = @alt_names

[alt_names]
DNS.1 = example.com
DNS.2 = *.example.com
Run Code Online (Sandbox Code Playgroud)

我尝试了上述配置并生成了证书。导航到 时https://example.com,它会产生通常的警告,表明证书是“自签名”的。接受后,我导航到https://abc.example.com并产生一个额外的警告,说该证书仅对example.com.

证书详细信息仅example.com在证书层次结构中列出,不存在任何通配符子域的迹象。

我不确定这是由于配置错误还是通用名称应该有通配符或无法做到这一点。

进一步更新:

这是我通过使用 openssl 查看证书请求得到的结果:

# openssl req -text -noout -in eg.csr
Certificate Request:
 Data:
  Version: 0 (0x0)
  Subject: C=xx, L=Location, O=Example Pte Ltd, CN=example.com/emailAddress=admin@example.com
  Subject Public Key Info:
  Public Key Algorithm: rsaEncryption
  Public-Key: (1024 bit)
  Modulus:
   00:c1:c7:0d:7e:b7:48:d3:b8:9a:5a:88:db:c2:91:
   ...
  Exponent: 65537 (0x10001)
  Attributes:
  Requested Extensions:
   X509v3 Basic Constraints: 
    CA:FALSE
   X509v3 Key Usage: 
    Digital Signature, Non Repudiation, Key Encipherment
   X509v3 Subject Alternative Name: 
    DNS:example.com, DNS:*.example.com
  Signature Algorithm: sha1WithRSAEncryption
   4d:4a:8a:d9:32:e2:31:c5:6c:8c:6a:2a:a6:c3:17:63:dd:a4:
   ...
Run Code Online (Sandbox Code Playgroud)

这就是我通过查看证书得到的:

# openssl x509 -in eg.crt -noout -text
Certificate:
 Data:
  Version: 1 (0x0)
  Serial Number:
   d0:9e:b3:d5:83:b5:a1:0d
  Signature Algorithm: sha1WithRSAEncryption
  Issuer: C=xx, L=Location, O=Example Pte Ltd, CN=example.com/emailAddress=admin@example.com
  Validity
   Not Before: Sep 30 10:16:34 2012 GMT
   Not After : Sep 30 10:16:34 2013 GMT
  Subject: C=xx, L=Location, O=Example Pte Ltd, CN=example.com/emailAddress=admin@example.com
  Subject Public Key Info:
   Public Key Algorithm: rsaEncryption
   Public-Key: (1024 bit)
   Modulus:
    00:c1:c7:0d:7e:b7:48:d3:b8:9a:5a:88:db:c2:91:
    ...
  Exponent: 65537 (0x10001)
  Signature Algorithm: sha1WithRSAEncryption
   3d:98:0d:f1:1b:06:27:63:09:14:4d:41:37:49:eb:70:15:1c:
   ...
Run Code Online (Sandbox Code Playgroud)

通过浏览器查看时,证书字段应该包含主题备用名称的扩展名。但它不在那里。如果确实可以实现,我想在生成证书时可能会出现一些问题。

Sha*_*den 2

是的,效果很好。您通常会在公共证书颁发机构颁发的通配符中看到通配符作为证书的主题,并将基域作为主题备用名称,但我相信相反的安排也适用。

查看您生成的证书 - alt_names 是否正确合并到证书中?

归档时间:

查看次数:

4195 次

最近记录:

13 年,6 月 前
通配符 SSL 证书是否应该同时保护根域和子域? 97
我可以对 *.domain.com 和 domain.com 使用相同的通配符认证吗 15
更多相关链接
相关归档
什么是 TLS,它与 SSL 相比如何? 13
为什么 Windows 2012 R2 不信任我的自签名证书? 9
使用 HTTPS 将主机名重定向到完全限定域名失败 8
为什么我得到不同的 openssl 版本? 6
openshift:无法写入“随机状态” 5
如何从我自己的 CA 创建 SSL 证书链? 5
使用虚拟化网络的 Docker >= 1.10 中的 HTTPS 请求失败 4
数据泄漏预防和 HTTPS 问题 3
ssl证书可以修改吗? 3
如何在域解析到服务器之前测试已安装的 SSL 证书 0
难疑归档
权限被拒绝(公钥)。从本地 Ubuntu 到 Amazon EC2 服务器的 SSH 227
您可以在新的 Windows 10 (Ubuntu) bash 用户空间上本地运行 Docker 吗? 127
如何让 bash 脚本在执行之前打印出每个命令? 95
服务器的 SSD 或 HDD 73
如何授予 LocalSystem 帐户的网络访问权限? 72
如何将过滤器应用于`tail -f`的实时输出? 71
在虚拟机中运行数据库有什么缺点?我如何克服它们? 65
无头 Ubuntu 服务器机器有时卡在 GRUB 菜单 55
RAID 中 SSD 的当前状态(2016 年)如何? 54
如何删除 EC2 AMI 52