网创优客建站品牌官网
为成都网站建设公司企业提供高品质网站建设
热线:028-86922220
成都专业网站建设公司

定制建站费用3500元

符合中小企业对网站设计、功能常规化式的企业展示型网站建设

成都品牌网站建设

品牌网站建设费用6000元

本套餐主要针对企业品牌型网站、中高端设计、前端互动体验...

成都商城网站建设

商城网站建设费用8000元

商城网站建设因基本功能的需求不同费用上面也有很大的差别...

成都微信网站建设

手机微信网站建站3000元

手机微信网站开发、微信官网、微信商城网站...

建站知识

当前位置:首页 > 建站知识

利用openssl签署多域名证书-创新互联

openssl自建CA默认签署的是单域名证书,因为单台服务器上有多个https域名,签署多域名证书能方便很多,今天找了很久,除了一些卖证书的网站上有scr工具能加“使用者备用名称”,都没有找到openssl相关的添加方法。

创新互联建站是专业的綦江网站建设公司,綦江接单;提供成都做网站、成都网站设计,网页设计,网站设计,建网站,PHP网站建设等专业做网站服务;采用PHP框架,可快速的进行綦江网站开发网页制作和功能扩展;专业做搜索引擎喜爱的网站,专业的做网站团队,希望更多企业前来合作!

    后来看openssl.cnf找到一个方法,这里记录一下:

    !!这个方法比较笨重,如果有其他方法,欢迎留言给我,感激不尽。

    (已找到,详见使用openssl为ssl证书增加“使用者备用名称(DNS)”)

    主要修改在openssl.cnf

        将文件中原来的

commonName                   = Common Name (eg, your name or your server\'s hostname)

commonName_max               = 64

修改为

0.commonName                   = Common Name (eg, your name or your server\'s hostname)
0.commonName_max               = 64

就是在前面加了个 “0.”,好了,如果要添加其他域名,只需要再增加相同的记录,前面的序号依次递增即可:

0.commonName                   = Common Name (eg, your name or your server\'s hostname)
0.commonName_max               = 64
1.commonName                   = other  Common Name

1.commonNAme_max               = 64

......

其他的步骤:

openssl.cnf中会要求部分文件及目录存在:

[root@localhost]#mkdir -p CA/{certs,crl,newcerts,private}

[root@localhost]# touch CA/index.txt

[root@localhost]#echo 00 > CA/serial

1.生成ca.key并自签署

openssl req -new -x509 -days 3650 -keyout ca.key -out ca.crt -config openssl.cnf

2.生成server.key(名字不重要)

openssl genrsa -out server.key 2048

3.生成证书签名请求
openssl req -new -key server.key -out server.csr -config openssl.cnf

Common Name 就是在这一步填写的,每次一个,如果没有那么多,可以直接回车

4.使用自签署的CA,签署server.scr

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
#输入第一步设置的密码,一直按y就可以了

server.crt server.key就是web服务器中使用的文件。

NGINX 双向认证

如果要做NGINX客户端证书验证的话,重复2、3、4,并执行下面命令生成个人证书

openssl pkcs12 -export -inkey server.key -in server.crt -out server.p12

将个人证书导入pc,同时在nginx ssl基础上增加设置:

ssl_verify_client on;
ssl_client_certificate ca.crt;

另外:nginx的双向认证是相对独立的,你可以在验证server端用你购买的ssl证书,然后在验证客户端用自签名的ca和证书。

附件:http://down.51cto.com/data/2364956

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


文章题目:利用openssl签署多域名证书-创新互联
当前网址:http://bjjierui.cn/article/ccojse.html

其他资讯