¿Alguien sabe si es posible crear mi propio certificado de comodín en Ubuntu? Por ejemplo, yo quiero los siguientes dominios de utilizar un certificado:¿Cómo creo mi propio certificado de comodín en Linux?
https://a.example.com
https://b.example.com
https://c.example.com
sólo tienes que seguir one del manystep a paso las instrucciones para la creación de su propio certificado con OpenSSL, pero reemplazar el "nombre común" www.example.com con *.example.com.
Por lo general, debe mantener un poco más de dinero listo para obtener un certificado.
> openssl req -new -x509 -keyout cert.pem -out cert.pem -days 365 -nodes
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Germany
Locality Name (eg, city) []:nameOfYourCity
Organization Name (eg, company) [Internet Widgits Pty Ltd]:nameOfYourCompany
Organizational Unit Name (eg, section) []:nameOfYourDivision
Common Name (eg, YOUR name) []:*.example.com
Email Address []:[email protected]
(Lo siento, mi howto favorito es un texto alemán que no tengo fácilmente disponible y no puede encontrar en la actualidad, por lo tanto, los 'muchos' enlaces)
Editar en 2017: El La respuesta original a esta pregunta es de 2009, cuando la opción de certificados no incluía opciones totalmente automáticas y gratuitas, como Let's Encrypt. Hoy en día (si el nivel de certificación "validado por dominio" de Let's Encrypt es suficiente para su propósito) es trivial obtener certificados individuales para cada uno de los subdominios. En caso de que necesite un nivel de confianza más alto que el dominio validado, los certificados de comodín siguen siendo una opción.
También desde 2017, tenga en cuenta el comentario más abajo, por @ ha9u63ar:
Según RFC 2818 seg. 3 el uso de CN para la identificación del nombre de host ya no se recomienda (obsoleto) El nombre alternativo del sujeto (SAN) parece ser el camino a seguir.
Mi respuesta a este comentario: Confío en que en la actualidad cualquier CA que emita certificados Wildcard tendrá un conjunto adecuado de instrucciones. Para una solución rápida autofirmada, no me preocuparía. Por otro lado, con LetsEncrypt por estos días, ha pasado mucho tiempo desde que creé un certificado autofirmado. Caramba, esta respuesta realmente muestra su edad.
¿Puedo ejecutarlo desde cualquier host o solo desde donde residen mis sitios? –
Puede usarlo en cualquier host. Pero si la solicitud va a www.example.net mientras el certificado es para * .ejemplo.com (tenga en cuenta la diferencia de net/com) obtendrá la advertencia habitual de no coincidencia de certificado. Sin embargo, puede tener varias máquinas diferentes, una que sirve www.example.com, otra a.ejemplo.com, b.ejemplo.com, etc. y todas las máquinas usan el mismo certificado. Se rompe solo cuando accede a ellos con un nombre de dominio que no coincide. –
Creo que esto funciona para 'https: // xyz.example.com', pero no para' https: // example.com'. Google para la extensión SAN (subjectAltName). – mivk