服务器 Gind.cn

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器

我可以使用通配符与SAN自签名证书吗?

我们有一个可以通过互联网访问的开发服务器,但是IP是受限的,所以这里的安全性只是让我们重现现场环境而不是试图安全的一种方式。 我们称之为dev.com的顶级域名未被使用,但是开发者已经将每个站点设置在他们自己特定的子域中。 假设有site1.com , site2.com和site3.com ,那么开发者george和nico将拥有完整的url,例如: www.site1.com.george.dev.com www.site2.com.george.dev.com www.site1.com.nico.dev.com 等等 我原本以为通配符自签名证书会做,但后来发现*.dev.com只适用于something.dev.com而不是sub-sub域。 我决定按照这个答案的指示。 当我使用: DNS.1 = www.site2.com.nico.dev.com DNS.2 = www.site1.com.george.dev.com 一切正常,但不幸的是有很多网站的开发人员,所以这里会有超过100个DNS.x条目。 我想知道是否可以在openssl.cnf的[ alternate_names ]部分使用通配符。 我尝试了以下内容: DNS.1 = dev.com DNS.2 = www.site1.com.george.dev.com DNS.3 = *.*.*.nico.dev.com 而DNS.2工作, DNS.3不,给我错误NET::ERR_CERT_COMMON_NAME_INVALID在Chrome中。 有没有办法做到这一点,或者我将不得不生成一个很长的DNS.x条目列表覆盖所有的网站? 我听说通过创build自己的CA,这将是可能的。 我遵循这个答案的伟大指示。 在我自己的CA完好的情况下,我创build了一个与DNS.1相同的证书,其通用名和DNS.2和DNS.3的通配符如下所示: DNS.1 = dev.com DNS.2 = *.dev.com DNS.3 = *.*.*.*.nico.dev.com 然后,我将cacert.pem从上面链接到的指南的第一步导入到Chrome作为受信任的根证书颁发机构,然后重新启动浏览器。 对于每个域configuration,我分别将SSLCertificateKeyFile和SSLCertificateFile设置为serverkey.pem和SSLCertificateFile ,并testing了几个域: 当进入主域https://dev.com时 ,我看到绿色的挂锁! 当去一个子域https://www.dev.com时 ,我也看到了绿色的挂锁! […]