web-dev-qa-db-fra.com

Comment créer mon propre certificat générique sous Linux?

Est-ce que quelqu'un sait s'il est possible de créer mon propre certificat générique sous Ubuntu? Par exemple, je souhaite que les domaines suivants utilisent un seul certificat:

https://a.example.com
https://b.example.com
https://c.example.com
certificatessl-certificate
31
Thierry Lam

Suivez simplement n des plusieursétape instructions étape par étape pour créer votre propre certificat avec OpenSSL mais remplacez le "Nom commun" www.example.com avec *.example.com.

Habituellement, vous devez garder un peu plus d'argent pour obtenir un certificat.

> openssl req -new -x509 -keyout cert.pem -out cert.pem -days 365 -nodes
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Germany
Locality Name (eg, city) []:nameOfYourCity
Organization Name (eg, company) [Internet Widgits Pty Ltd]:nameOfYourCompany
Organizational Unit Name (eg, section) []:nameOfYourDivision
Common Name (eg, YOUR name) []:*.example.com
Email Address []:[email protected]

(Désolé, mon howto préféré est un texte allemand que je n'ai pas facilement disponible et que je ne trouve pas actuellement, donc les 'nombreux' liens)

Edit in 2017: La réponse originale à cette question date de 2009, lorsque le choix des certificats n'incluait pas d'options entièrement automatisées et gratuites comme Let's Encrypt . De nos jours (si le niveau de certification "validé par le domaine" de Let's Encrypt est suffisant pour votre objectif) il est trivial d'obtenir des certificats individuels pour chaque sous-domaine. Si vous avez besoin d'un niveau de confiance supérieur à celui validé par domaine, les certificats génériques sont toujours une option.

Également à partir de 2017, notez le commentaire ci-dessous, par @ ha9u63ar:

Selon RFC 2818 sec. 3 L'utilisation du CN pour l'identification du nom d'hôte n'est plus recommandée (obsolète) Le nom alternatif du sujet (SAN) semble être la voie à suivre.

Ma réponse à ce commentaire: J'espère que de nos jours, toutes les autorités de certification qui émettent des certificats Wildcard auront un ensemble d'instructions approprié. Pour une solution rapide auto-signée, je ne m'inquiéterais pas. D'un autre côté, avec LetsEncrypt qui existe ces jours-ci, cela fait longtemps que je n'ai pas créé de certificat auto-signé. Gee, cette réponse montre vraiment son âge.

61
Olaf Kock