Czy można używać pojedynczego certyfikatu z podpisem własnym dla wszystkich domen lokalnych, takich jak: blog1.test, shop1.test, shop2.test, więc nie muszę dodawać wszystkich tych certyfikatów do mojego pęku kluczy (MacOS), zamiast tego: Chciałbym dodać tylko jeden ogólny samopodpisany certyfikat?
Oto moja konfiguracja /etc/ssl/openssl.cnf:
[ san ]
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = localhost
DNS.2 = domain.test
Wygenerowałem mój samopodpisany certyfikat w ten sposób:
sudo openssl req -extensions san -config /etc/ssl/openssl.cnf -x509 -nodes -newkey rsa:4096 -keyout /private/etc/apache2/server.key -out /private/etc/apache2/server.crt -days 3650 -subj "/C=KZ/ST=Almaty/L=Almaty/O=Companyname/CN=localhost"
Ale nawet jeśli dodam do SAN więcej rekordów DNS, nie będzie działać w innej domenie niż „localhost”. Czy to w ogóle możliwe?
Nie rozumiem, dlaczego to nie zadziała. Jednak używanie symboli wieloznacznych może być łatwiejsze. Nie należy używać arbitralnych TLD w sieci lokalnej.
—
Daniel B,
Dlaczego to miałoby działać? Myślę, że nazwa zwyczajowa jest bardzo ważna podczas tworzenia certyfikatu, prawda?
—
Alexander Kim
@DanielB, właśnie przetestowałem, naprawdę działa. Muszę tylko edytować openssl.cnf za każdym razem, gdy chcę dodać więcej domen, a następnie ponownie utworzyć certyfikat i ponownie dodać do mojego pęku kluczy.
—
Alexander Kim
Przy początkowej konfiguracji byłoby to trochę więcej pracy, ale na dłuższą metę prawdopodobnie na dłuższą metę łatwiej byłoby utworzyć własny katalog główny urzędu certyfikacji, oznaczyć go jako zaufanego, a następnie podpisać za pomocą niego poszczególne certyfikaty SSL.
—
Gordon Davisson
Budujesz urząd certyfikacji i instalujesz certyfikat tego urzędu certyfikacji w pęku kluczy jako kotwicę zaufania. Każdy certyfikat wydany przez ten urząd certyfikacji jest następnie automatycznie ufany przez przeglądarkę / komputer. Za każdym razem, gdy powstaje nowa usługa (np. Blog1.test lub shop1.test), urząd certyfikacji wystawia certyfikat dla tej usługi. Certyfikat tej usługi będzie zaufany, ponieważ certyfikat urzędu certyfikacji znajduje się już w Twoim magazynie kluczy i jest zaufany. Być może potrzebujesz Google 'Certification Authority' - to skomplikowany temat, jeśli robisz to dobrze (w przypadku produkcji), ale w środowisku testowym jest to dość proste.
—
garethTheRed