OpenSSL多泛域名证书配置指南

OpenSSL多泛域名证书配置指南

OpenSSL是一个开放源代码的加密工具包，用于传输层安全（TLS）和安全套接字层（SSL）协议。在网络通信中，使用SSL证书对数据进行加密和身份验证。多泛域名证书是一种能够覆盖多个域名的SSL证书，本文将介绍如何使用OpenSSL配置多泛域名证书。

生成私钥

首先，我们需要生成一个私钥文件。在命令行中输入以下命令：

openssl genrsa -out example.com.key 2048

这将生成一个2048位的RSA私钥文件，文件名为example.com.key。

接下来，我们需要为每个域名生成一个证书请求文件。假设我们需要为example.com和www.example.com生成证书请求文件，可以使用以下命令：

openssl req -new -key example.com.key -out example.com.csr

openssl req -new -key example.com.key -out www.example.com.csr

这将分别生成example.com.csr和www.example.com.csr两个证书请求文件。

创建配置文件

为了简化证书签发的流程，我们可以创建一个OpenSSL配置文件。在命令行中输入以下命令：

vi openssl.cnf

在配置文件中添加以下内容：

[req]

distinguished_name = req_distinguished_name

req_extensions = v3_req

[req_distinguished_name]

countryName = Country Name (2 letter code)

stateOrProvinceName = State or Province Name (full name)

localityName = Locality Name (eg, city)

organizationName = Organization Name (eg, company)

commonName = Common Name (e.g. server FQDN or YOUR name)

[v3_req]

keyUsage = keyEncipherment, dataEncipherment

extendedKeyUsage = serverAuth

subjectAltName = @alt_names

[alt_names]

DNS.1 = example.com

DNS.2 = www.example.com

这个配置文件指定了证书请求中的一些信息，以及多泛域名证书的域名列表。

生成证书

有了私钥文件和证书请求文件，我们就可以生成证书了。在命令行中输入以下命令：

openssl x509 -req -in example.com.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out example.com.crt -days 365 -extfile openssl.cnf -extensions v3_req

openssl x509 -req -in www.example.com.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out www.example.com.crt -days 365 -extfile openssl.cnf -extensions v3_req

这将使用CA证书和私钥对证书请求文件进行签名，生成example.com.crt和www.example.com.crt两个证书文件。

配置服务器

最后，我们需要将生成的证书文件配置到服务器上。具体的配置方法取决于服务器的类型和版本，这里以Nginx服务器为例。在Nginx配置文件中添加以下内容：

server {

listen 443 ssl;

server_name example.com www.example.com;

ssl_certificate /path/to/example.com.crt;

ssl_certificate_key /path/to/example.com.key;

}

这样就完成了多泛域名证书的配置，可以在浏览器中访问example.com和www.example.com，确保SSL证书生效。

总结

本文介绍了使用OpenSSL配置多泛域名证书的详细步骤，包括生成私钥、创建配置文件、生成证书和配置服务器。通过这些步骤，我们可以为多个域名生成一个SSL证书，确保通信的安全性和可信度。

值得注意的是，SSL证书的有效期通常为一年，到期后需要重新生成证书。另外，配置文件中的域名列表也需要根据实际情况进行调整。希望本文对您有所帮助，谢谢阅读！