openssl簽署自己的泛域名（通配符）證書

!!!! 火狐瀏覽器對(duì)多CN的通配符識(shí)別有問題，只識(shí)別第一個(gè)，所以建議用備用主機(jī)名（DNS）方式,。已測(cè)試有效 !!!!

openssl自建CA默認(rèn)簽署的是單域名證書，因?yàn)閱闻_(tái)服務(wù)器上有多個(gè)https域名，有的時(shí)候希望一個(gè)證書能解決所有問題，如果是同一個(gè)頂級(jí)域名，那么泛域名（通配符）證書正好適合你

不需要修改openssl.cnf，其他有的擴(kuò)展最好都注釋掉，不注釋也不影響

只要在輸入域名（CN）的時(shí)候，把www.baidu.com 改成 *.baidu.com
!!這里要注意， a.b.baidu.com  要寫成 *.b.baidu.com

!!另外， 經(jīng)過測(cè)試，泛域名可以和多CN方式同時(shí)使用，在多CN填寫域名的時(shí)候用*.xxx.com代替。
至于備用主機(jī)名方式，大家可以自行測(cè)試。

其他的步驟：

openssl.cnf中會(huì)要求部分文件及目錄存在：

[root@localhost]#mkdir -p CA/{certs,crl,newcerts,private}

[root@localhost]# touch CA/index.txt

[root@localhost]#echo 00 > CA/serial

1.生成ca.key并自簽署

openssl req -new -x509 -days 3650 -keyout ca.key -out ca.crt -config openssl.cnf

2.生成server.key(名字不重要)
openssl genrsa -out server.key 2048

3.生成證書簽名請(qǐng)求
openssl req -new -key server.key -out server.csr -config openssl.cnf
Common Name 就是在這一步填寫的，*.baidu.com

4.使用自簽署的CA，簽署server.scr
openssl ca -days 180 -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
#輸入第一步設(shè)置的密碼，一直按y就可以了

server.crt server.key就是web服務(wù)器中使用的文件。

NGINX 雙向認(rèn)證

如果要做NGINX客戶端證書驗(yàn)證的話，重復(fù)2、3、4，并執(zhí)行下面命令生成個(gè)人證書
5.生成個(gè)人證書
openssl  pkcs12 -export -inkey xxx.key -in xxx.crt -out  xxx.p12

將個(gè)人證書導(dǎo)入pc，同時(shí)在nginx ssl基礎(chǔ)上增加設(shè)置：
ssl_verify_client on;
ssl_client_certificate ca.crt;