生成自签名泛域名证书

本文涉及的产品
检索分析服务 Elasticsearch 版,2核4GB开发者规格 1个月
智能开放搜索 OpenSearch行业算法版,1GB 20LCU 1个月
实时数仓Hologres,5000CU*H 100GB 3个月
简介: 在Ubuntu 20.04上,本文详细介绍了如何生成自签名泛域名证书,适用于泛域名的场景,如K8S集群。步骤包括创建CA证书、服务器证书,使用`openssl`命令行工具处理CSR,设置扩展字段,并将证书拷贝到目标目录。还提到了nginx配置和Docker证书信任。注意安全性和隐私问题。

lang: zh-CN
title: 生成自签名泛域名证书
description: 生成自签名泛域名证书
isOriginal: true
date: 2024-02-28
category:

  • 自签名
  • 泛域名
    tag:
  • 自签名
  • 泛域名
  • 证书
    head:
    • meta
    • name: keywords
      content: Linux,泛域名,自签名泛域名,证书
      star: true
      sticky: true

本文介绍,在Linux环境下生成自签名泛域名

生成环境说明

以下命令在 Ubuntu 20.04 LTS 系统上测试

ubuntu@:~$ lsb_release -a

No LSB modules are available.
Distributor ID:    Ubuntu
Description:    Ubuntu 20.04 LTS
Release:    20.04
Codename:    focal
AI 代码解读

泛域名介绍

泛域名(Wildcard Domain)是一种在域名系统(DNS)中使用的特殊类型的域名。通常,域名系统中的域名是指定了特定子域的,例如 example.comwww.example.com。但是,泛域名允许将所有子域名都指向同一个位置,而无需为每个子域名都配置单独的 DNS 记录。

泛域名的常见语法是使用星号()作为通配符,例如 `.example.com。这意味着任何子域名,如foo.example.combar.example.comxyz.example.com` 等,都将指向相同的位置。

泛域名通常用于以下几种情况:

  1. 统一的网站访问:如果您希望所有子域名都指向同一个网站或服务,而不必为每个子域名都配置 DNS 记录,泛域名就非常有用。这样可以简化管理并节省时间。

  2. 动态子域名分配:某些应用程序可能会动态创建子域名,例如个人博客平台或多租户 SaaS 应用程序。使用泛域名可以让这些动态创建的子域名立即生效,而无需手动配置 DNS 记录。

  3. 测试和开发环境:在测试和开发过程中,可能需要创建多个临时子域名。使用泛域名可以简化测试环境的设置,例如 *.test.example.com

虽然泛域名提供了灵活性和便利性,但在使用时需要谨慎考虑安全性和隐私性问题。由于泛域名会匹配任何子域名,因此可能存在滥用的风险,例如恶意用户创建子域名来冒充您的网站或服务。因此,建议在使用泛域名时采取适当的安全措施,如限制子域名的使用范围、监控域名注册情况等。

背景

本实践由于要搭建K8S集群,系统众多,并且以https形式访问,所以需要生成泛域名证书

自签名生成泛域名证书操作步骤

假设主域名为 example.xxxx.com,泛域名为 *.example.xxxx.com

#Generate a Certificate Authority Certificate
openssl genrsa -out ca.key 4096

openssl req -x509 -new -nodes -sha512 -days 3650 
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=*.example.xxxx.com" 
-key ca.key 
-out ca.crt

#Generate a Server Certificate
openssl genrsa -out example.xxxx.com.key 4096

openssl req -sha512 -new 
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=*.example.xxxx.com" 
-key example.xxxx.com.key 
-out example.xxxx.com.csr
cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1=example.xxxx.com
DNS.2=www.example.xxxx.com
DNS.3=*.example.xxxx.com
EOF

openssl x509 -req -sha512 -days 3650 
-extfile v3.ext 
-CA ca.crt -CAkey ca.key -CAcreateserial 
-in example.xxxx.com.csr 
-out example.xxxx.com.crt

# 拷贝证书到指定目录(根据需要执行)
cp example.xxxx.com.crt /data/harbor/cert
cp example.xxxx.com.key /data/harbor/cert

openssl x509 -inform PEM -in example.xxxx.com.crt -out example.xxxx.com.cert

# nginx配置(根据需要执行)
mkdir -p /etc/docker/certs.d/nginx/certs/registry.example.xxxx.com/
cp example.xxxx.com.cert /etc/docker/certs.d/registry.example.xxxx.com/
cp example.xxxx.com.key /etc/docker/certs.d/registry.example.xxxx.com/
cp ca.crt /etc/docker/certs.d/registry.example.xxxx.com/
AI 代码解读
目录
打赏
0
0
0
0
12
分享
相关文章
阿里云SSL证书不同类型DV、OV和EV如何收费?单域名和通配符SSL价格整理
阿里云SSL证书提供免费和收费版本,涵盖DV、OV、EV多种类型。收费证书品牌包括DigiCert、GlobalSign等,价格从238元/年起。免费SSL证书由Digicert提供,单域名有效3个月,每个实名主体每年可领取20个。具体价格和详情见阿里云SSL官方页面。
阿里云SSL证书不同类型DV、OV和EV如何收费?单域名和通配符SSL价格整理
阿里云SSL证书提供免费和收费选项。收费证书包括:DV单域名WoSign 238元/年,DigiCert通配符DV 1500元/年,GlobalSign OV企业型1864元/年等。免费SSL证书由Digicert提供,有效期3个月,每年可领取20个单域名证书。更多详情及价格表请参考阿里云官方页面。
没有域名只有IP地址怎么申请https证书?
IP 地址 SSL 证书是一种特殊的 SSL/TLS 证书,允许直接为 IP 地址配置 HTTPS 加密,适用于内部服务、私有网络和无域名的设备管理。与基于域名的证书不同,申请过程较为复杂,需选择支持 IP 的证书颁发机构(CA),并完成额外的身份验证步骤。浏览器对 IP 地址的支持有限,可能会显示警告。通过正确配置服务器(如 Nginx 或 Apache),可以确保通信安全。
免费泛域名https证书教程—无限免费续签
随着互联网安全意识提升,越来越多网站采用HTTPS协议。本文介绍如何通过JoySSL轻松获取并实现免费泛域名SSL证书的无限续签。JoySSL提供永久免费通配符SSL证书,支持无限制域名申请及自动续签,全中文界面适合国内用户。教程涵盖注册账号、选择证书类型、验证域名所有权、下载与安装证书以及设置自动续签等步骤,帮助网站简化SSL证书管理流程,确保长期安全性。
域名、证书提升自建dnslog平台的安全性
本文介绍如何使用 Nginx 反向代理为自建的 DNSlog 平台添加域名访问及 SSL 证书,提升安全性。内容分为三部分:Nginx 反代配置、Cloudflare 域名解析配置及证书安装。通过详细步骤和命令,帮助读者顺利完成配置,实现安全稳定的域名访问。
235 82
域名、证书提升自建dnslog平台的安全性
多域名 SSL 证书是什么? 多域名 SSL 证书申请流程
多域名SSL证书是保护多个网站时的高效选择,它使得单个证书能够保护多个域名(网站)。这种证书通过在用户的Web浏览器和托管网站的服务器之间建立安全的加密连接,确保了敏感信息(包括登录凭证、信用卡信息和其他个人数据)的安全传输。
398 1
阿里云国际版如何为SSL证书更换域名?
阿里云国际版如何为SSL证书更换域名?
阿里云SSL证书价格多少钱一年?单域名和通配符收费明细整理
阿里云提供多样化的SSL证书服务,包括免费及付费选项。免费版由DigiCert提供,适合基本需求,有效期为3个月。付费证书品牌涵盖WoSign、DigiCert、GlobalSign等,价格从238元/年起。不同品牌与类型的证书(如DV、OV、EV)费用各异,满足各类安全需求。详情及最新价格请访问阿里云官方页面。
|
7月前
公安部备案域名证书怎么获得?阿里云域名证书申请下载方法
在阿里云获取域名证书,需登录域名管理控制台,点击“域名列表”,选择域名后点击“管理”,再点击左侧的“域名证书下载”。过程免费且快速。
859 3

相关实验场景

更多