lang: zh-CN
title: 生成自签名泛域名证书
description: 生成自签名泛域名证书
isOriginal: true
date: 2024-02-28
category:

• 自签名
• 泛域名
  tag:
• 自签名
• 泛域名
• 证书
  head:
• • meta
  • name: keywords
    content: Linux,泛域名,自签名泛域名,证书
    star: true
    sticky: true

本文介绍，在Linux环境下生成自签名泛域名

生成环境说明

以下命令在 Ubuntu 20.04 LTS 系统上测试

ubuntu@:~$ lsb_release -a

No LSB modules are available.
Distributor ID:    Ubuntu
Description:    Ubuntu 20.04 LTS
Release:    20.04
Codename:    focal

泛域名介绍

泛域名（Wildcard Domain）是一种在域名系统（DNS）中使用的特殊类型的域名。通常，域名系统中的域名是指定了特定子域的，例如 example.com 或 www.example.com。但是，泛域名允许将所有子域名都指向同一个位置，而无需为每个子域名都配置单独的 DNS 记录。

泛域名的常见语法是使用星号（）作为通配符，例如 `.example.com。这意味着任何子域名，如foo.example.com、bar.example.com、xyz.example.com` 等，都将指向相同的位置。

泛域名通常用于以下几种情况：

1. 统一的网站访问：如果您希望所有子域名都指向同一个网站或服务，而不必为每个子域名都配置 DNS 记录，泛域名就非常有用。这样可以简化管理并节省时间。

2. 动态子域名分配：某些应用程序可能会动态创建子域名，例如个人博客平台或多租户 SaaS 应用程序。使用泛域名可以让这些动态创建的子域名立即生效，而无需手动配置 DNS 记录。

3. 测试和开发环境：在测试和开发过程中，可能需要创建多个临时子域名。使用泛域名可以简化测试环境的设置，例如 *.test.example.com。

虽然泛域名提供了灵活性和便利性，但在使用时需要谨慎考虑安全性和隐私性问题。由于泛域名会匹配任何子域名，因此可能存在滥用的风险，例如恶意用户创建子域名来冒充您的网站或服务。因此，建议在使用泛域名时采取适当的安全措施，如限制子域名的使用范围、监控域名注册情况等。

背景

本实践由于要搭建K8S集群，系统众多，并且以https形式访问，所以需要生成泛域名证书

自签名生成泛域名证书操作步骤

假设主域名为 example.xxxx.com，泛域名为 *.example.xxxx.com

#Generate a Certificate Authority Certificate
openssl genrsa -out ca.key 4096

openssl req -x509 -new -nodes -sha512 -days 3650 
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=*.example.xxxx.com" 
-key ca.key 
-out ca.crt

#Generate a Server Certificate
openssl genrsa -out example.xxxx.com.key 4096

openssl req -sha512 -new 
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=*.example.xxxx.com" 
-key example.xxxx.com.key 
-out example.xxxx.com.csr
cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1=example.xxxx.com
DNS.2=www.example.xxxx.com
DNS.3=*.example.xxxx.com
EOF

openssl x509 -req -sha512 -days 3650 
-extfile v3.ext 
-CA ca.crt -CAkey ca.key -CAcreateserial 
-in example.xxxx.com.csr 
-out example.xxxx.com.crt

# 拷贝证书到指定目录（根据需要执行）
cp example.xxxx.com.crt /data/harbor/cert
cp example.xxxx.com.key /data/harbor/cert

openssl x509 -inform PEM -in example.xxxx.com.crt -out example.xxxx.com.cert

# nginx配置（根据需要执行）
mkdir -p /etc/docker/certs.d/nginx/certs/registry.example.xxxx.com/
cp example.xxxx.com.cert /etc/docker/certs.d/registry.example.xxxx.com/
cp example.xxxx.com.key /etc/docker/certs.d/registry.example.xxxx.com/
cp ca.crt /etc/docker/certs.d/registry.example.xxxx.com/