生成自签名泛域名证书

本文涉及的产品
实时数仓Hologres,5000CU*H 100GB 3个月
检索分析服务 Elasticsearch 版,2核4GB开发者规格 1个月
实时计算 Flink 版,5000CU*H 3个月
简介: 在Ubuntu 20.04上,本文详细介绍了如何生成自签名泛域名证书,适用于泛域名的场景,如K8S集群。步骤包括创建CA证书、服务器证书,使用`openssl`命令行工具处理CSR,设置扩展字段,并将证书拷贝到目标目录。还提到了nginx配置和Docker证书信任。注意安全性和隐私问题。

lang: zh-CN
title: 生成自签名泛域名证书
description: 生成自签名泛域名证书
isOriginal: true
date: 2024-02-28
category:

  • 自签名
  • 泛域名
    tag:
  • 自签名
  • 泛域名
  • 证书
    head:
    • meta
    • name: keywords
      content: Linux,泛域名,自签名泛域名,证书
      star: true
      sticky: true

本文介绍,在Linux环境下生成自签名泛域名

生成环境说明

以下命令在 Ubuntu 20.04 LTS 系统上测试

ubuntu@:~$ lsb_release -a

No LSB modules are available.
Distributor ID:    Ubuntu
Description:    Ubuntu 20.04 LTS
Release:    20.04
Codename:    focal

泛域名介绍

泛域名(Wildcard Domain)是一种在域名系统(DNS)中使用的特殊类型的域名。通常,域名系统中的域名是指定了特定子域的,例如 example.comwww.example.com。但是,泛域名允许将所有子域名都指向同一个位置,而无需为每个子域名都配置单独的 DNS 记录。

泛域名的常见语法是使用星号()作为通配符,例如 `.example.com。这意味着任何子域名,如foo.example.combar.example.comxyz.example.com` 等,都将指向相同的位置。

泛域名通常用于以下几种情况:

  1. 统一的网站访问:如果您希望所有子域名都指向同一个网站或服务,而不必为每个子域名都配置 DNS 记录,泛域名就非常有用。这样可以简化管理并节省时间。

  2. 动态子域名分配:某些应用程序可能会动态创建子域名,例如个人博客平台或多租户 SaaS 应用程序。使用泛域名可以让这些动态创建的子域名立即生效,而无需手动配置 DNS 记录。

  3. 测试和开发环境:在测试和开发过程中,可能需要创建多个临时子域名。使用泛域名可以简化测试环境的设置,例如 *.test.example.com

虽然泛域名提供了灵活性和便利性,但在使用时需要谨慎考虑安全性和隐私性问题。由于泛域名会匹配任何子域名,因此可能存在滥用的风险,例如恶意用户创建子域名来冒充您的网站或服务。因此,建议在使用泛域名时采取适当的安全措施,如限制子域名的使用范围、监控域名注册情况等。

背景

本实践由于要搭建K8S集群,系统众多,并且以https形式访问,所以需要生成泛域名证书

自签名生成泛域名证书操作步骤

假设主域名为 example.xxxx.com,泛域名为 *.example.xxxx.com

#Generate a Certificate Authority Certificate
openssl genrsa -out ca.key 4096

openssl req -x509 -new -nodes -sha512 -days 3650 
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=*.example.xxxx.com" 
-key ca.key 
-out ca.crt

#Generate a Server Certificate
openssl genrsa -out example.xxxx.com.key 4096

openssl req -sha512 -new 
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=*.example.xxxx.com" 
-key example.xxxx.com.key 
-out example.xxxx.com.csr
cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1=example.xxxx.com
DNS.2=www.example.xxxx.com
DNS.3=*.example.xxxx.com
EOF

openssl x509 -req -sha512 -days 3650 
-extfile v3.ext 
-CA ca.crt -CAkey ca.key -CAcreateserial 
-in example.xxxx.com.csr 
-out example.xxxx.com.crt

# 拷贝证书到指定目录(根据需要执行)
cp example.xxxx.com.crt /data/harbor/cert
cp example.xxxx.com.key /data/harbor/cert

openssl x509 -inform PEM -in example.xxxx.com.crt -out example.xxxx.com.cert

# nginx配置(根据需要执行)
mkdir -p /etc/docker/certs.d/nginx/certs/registry.example.xxxx.com/
cp example.xxxx.com.cert /etc/docker/certs.d/registry.example.xxxx.com/
cp example.xxxx.com.key /etc/docker/certs.d/registry.example.xxxx.com/
cp ca.crt /etc/docker/certs.d/registry.example.xxxx.com/
目录
相关文章
|
9天前
|
网络协议 应用服务中间件 网络安全
免费泛域名https证书教程—无限免费续签
随着互联网安全意识提升,越来越多网站采用HTTPS协议。本文介绍如何通过JoySSL轻松获取并实现免费泛域名SSL证书的无限续签。JoySSL提供永久免费通配符SSL证书,支持无限制域名申请及自动续签,全中文界面适合国内用户。教程涵盖注册账号、选择证书类型、验证域名所有权、下载与安装证书以及设置自动续签等步骤,帮助网站简化SSL证书管理流程,确保长期安全性。
|
3月前
|
域名解析 安全 应用服务中间件
域名、证书提升自建dnslog平台的安全性
本文介绍如何使用 Nginx 反向代理为自建的 DNSlog 平台添加域名访问及 SSL 证书,提升安全性。内容分为三部分:Nginx 反代配置、Cloudflare 域名解析配置及证书安装。通过详细步骤和命令,帮助读者顺利完成配置,实现安全稳定的域名访问。
225 82
域名、证书提升自建dnslog平台的安全性
|
17天前
|
Web App开发 安全 网络协议
多域名 SSL 证书是什么? 多域名 SSL 证书申请流程
多域名SSL证书是保护多个网站时的高效选择,它使得单个证书能够保护多个域名(网站)。这种证书通过在用户的Web浏览器和托管网站的服务器之间建立安全的加密连接,确保了敏感信息(包括登录凭证、信用卡信息和其他个人数据)的安全传输。
351 1
|
2月前
|
安全 应用服务中间件 Shell
nginx配置https的ssl证书和域名
nginx配置https的ssl证书和域名
|
2月前
|
网络安全
阿里云国际版如何为SSL证书更换域名?
阿里云国际版如何为SSL证书更换域名?
|
4月前
|
安全 数据建模 网络安全
阿里云SSL证书价格多少钱一年?单域名和通配符收费明细整理
阿里云提供多样化的SSL证书服务,包括免费及付费选项。免费版由DigiCert提供,适合基本需求,有效期为3个月。付费证书品牌涵盖WoSign、DigiCert、GlobalSign等,价格从238元/年起。不同品牌与类型的证书(如DV、OV、EV)费用各异,满足各类安全需求。详情及最新价格请访问阿里云官方页面。
|
5月前
公安部备案域名证书怎么获得?阿里云域名证书申请下载方法
在阿里云获取域名证书,需登录域名管理控制台,点击“域名列表”,选择域名后点击“管理”,再点击左侧的“域名证书下载”。过程免费且快速。
767 3
|
6月前
|
前端开发 小程序 应用服务中间件
在服务器上正确配置域名https证书(ssl)及为什么不推荐使用宝塔申请免费ssl证书
在服务器上正确配置域名https证书(ssl)及为什么不推荐使用宝塔申请免费ssl证书
306 4
软件开发常见流程之如何下载域名证书,由于域名备份需要域名证书,好的做法是提前将证书下载了,并且以xxxxx.com标记标题整理
软件开发常见流程之如何下载域名证书,由于域名备份需要域名证书,好的做法是提前将证书下载了,并且以xxxxx.com标记标题整理
|
20天前
|
弹性计算 移动开发 安全
阿里云域名注册、续费收费标准价格表及最新优惠口令获取及使用教程参考
阿里云域名注册和续费收费标准在9月份随着全球域名价格的上涨,域名收费标准也做了调整,目前阿里云的.com英文域名的注册价格为83元,续费收费标准为90元,为了让更多用户在注册和续费时价格能更加实惠,阿里云推出了域名优惠口令活动,域名优惠口令适合在域名注册和续费时使用,使用优惠口令通常可以使注册和续费价格减免几元到十几元不等,例如使用优惠口令续费.com域名就可减少5元。本文为大家展示目前阿里云域名注册和续费的最新收费标准以及如何领取和使用域名优惠口令的相关教程,以供参考。
284 11

相关实验场景

更多