开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

openssl多个泛域名

基础概念

OpenSSL 是一个开源的安全套接字层协议库，提供了丰富的加密算法、SSL/TLS 协议的实现以及各种安全相关的功能。泛域名（Wildcard Domain）是指使用通配符 * 来匹配任意子域名的域名，例如 *.example.com 可以匹配 www.example.com、mail.example.com 等。

相关优势

灵活性：使用泛域名证书可以保护多个子域名，而不需要为每个子域名单独购买和管理证书。
简化管理：减少了证书的数量和管理复杂性，降低了维护成本。
安全性：确保所有子域名都使用有效的 SSL/TLS 证书，提高了整体安全性。

类型

DV（Domain Validation）泛域名证书：最基本的泛域名证书，仅验证域名的所有权。
OV（Organization Validation）泛域名证书：除了验证域名所有权外，还验证组织的身份。
EV（Extended Validation）泛域名证书：最高级别的泛域名证书，提供最严格的验证流程，显示绿色的公司名称和地址。

应用场景

多子域名网站：适用于有多个子域名的网站，如 www.example.com、blog.example.com、shop.example.com 等。
API 服务：用于保护多个 API 端点，如 api.example.com/*。
邮件服务器：保护多个邮件子域名，如 mail.example.com、smtp.example.com 等。

遇到的问题及解决方法

问题：为什么 OpenSSL 生成泛域名证书时提示“无法匹配通配符”？

原因：

通配符 * 只能出现在域名的最左边部分，例如 *.example.com 是有效的，但 www.*.com 是无效的。
通配符不能匹配顶级域名（TLD），例如 *.com 是无效的。

解决方法：

确保通配符 * 只出现在域名的最左边部分。
使用有效的域名格式，例如 *.example.com。

问题：如何使用 OpenSSL 生成泛域名证书？

示例代码：

# 生成私钥
openssl genpkey -algorithm RSA -out wildcard.key -pkeyopt rsa_keygen_bits:2048

# 生成证书签名请求（CSR）
openssl req -new -key wildcard.key -out wildcard.csr -subj "/C=US/ST=State/L=City/O=Organization/CN=*.example.com"

# 使用自签名方式生成证书（仅用于测试）
openssl x509 -req -days 365 -in wildcard.csr -signkey wildcard.key -out wildcard.crt

参考链接：

总结

OpenSSL 泛域名证书提供了灵活、简化和安全的解决方案，适用于多子域名的场景。在使用过程中，需要注意通配符的正确使用方式，并通过正确的命令生成证书。如果遇到问题，可以参考 OpenSSL 官方文档或相关服务提供商的指导。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

【玩转腾讯云】为网站上云SSL证书

申请SSL证书分为免费和收费方式。收费方式和免费的区别是，收费的CA机构签发检查资质更严格，收费证书的安全，这意味着如果在一个对安全领域要求更高的场合倾向于使用收费证书。另外收费的证书支持更多的功能，比如说多域名和泛域名证书，往往免费的证书不支持。

SSL证书的区别和申请办法

从2017年开始意味着浏览器迁移HTTPS的重要开始，因为Chrome 56版本讲HTTP标记为非安全的网站。证书是用于SSL安全通信信道鉴权，它可以防止中间人攻击。证书有一条信任链，证书的真实安全身份由签发者提供保证，这一个信任关系常见的有2~4级，根证书的机构就是那些知名机构，这些知名机构被安装于世界上几乎所有主流的浏览器。一个证书通过工具查看到证书的拥有者和签发者。

制作自签名泛域名证书

出于测试的目的，有时候急需一张证书，一般申请的流程比较麻烦，而且泛域名证书收费，于是本文介绍一下自己制作一张自签名泛域名证书，设置一个比较长的期限，这样就可以方便测试啦~~

07

自签名SSL证书的创建与管理

创建自签名根根证书过程：生成CA私钥（.key）-->生成CA证书请求（.csr）-->自签名得到根证书（.crt）（CA给自已颁发的证书）

01

在Linux下如何根据域名自签发OpenSSL证书与常用证书转换修改openssl.cnf配置文件创建根证书自签发泛域名证书将crt转pem格式生成 p12 格式的

当然上述的公钥制作方式需要交互式输入信息，如果不想频繁输入，那么可以使用如下命令：

02

Letsencrypt 泛域名 SSL 证书免费申请

超文本传输安全协议（英语：Hypertext Transfer Protocol Secure，缩写：HTTPS，常称为 HTTP over TLS，HTTP over SSL 或 HTTP Secure）是一种网络安全传输协议。在计算机网络上，HTTPS 经由超文本传输协议进行通信，但利用 SSL/TLS 来加密数据包。HTTPS 开发的主要目的，是提供对网络服务器的身份认证，保护交换数据的隐私与完整性。这个协议由网景公司（Netscape）在1994年首次提出，随后扩展到互联网上。

05

敲黑板 | 如何在云帮上配置https

序相关组件介绍本次分享主要涉及到两个模块console模块和openresty模块。 console模块即云帮(ACP)控制台模块，为用户提供可视化Web操作界面，监听443端口即可，对证书需求

03

Nginx配置HTTPS详细说明

TLS或传输层安全( transport layer security)，它的前身是SSL(安全套接字层secure sockets layer)，是Web协议用来包裹在一个受保护，加密封装正常通道。采用这种技术，服务器和客户端之间可以安全地进行交互，而不用担心消息将被拦截和读取。证书系统帮助用户在核实它们与连接站点的身份。

04

5-5 各个服务应用启动

yum -y install gcc gcc-c++ autoconf automake make

02

Nginx配置Https单向认证、双向认证以及多证书配置

Nginx为了支持Https需要安装http_ssl_module模块。在编译时需要带上--with-http_ssl_module参数。

02

Nginx配置Https单向认证、双向认证以及多证书配置

Nginx为了支持Https需要安装http_ssl_module模块。在编译时需要带上--with-http_ssl_module参数。

02

ngrok+nginx 实现内网穿透共用80端口

穿透后，你的机器指定端口就直接暴露在外网上，3389，vnc,web服务等等任何服务都可以支持。微信开发需要回调web服务器接口，如果开发机器在内网，就无法调试。

02

【腾讯云的1001种玩法】轻松搭建内网穿透服务Ngrok

本文介绍如何使用ngrok服务进行内网穿透和域名映射,是一篇关于ngrok的教程类文章。

01

爽了！一分钟轻松搞定 SSL 证书自动续期，解决免费证书每 3 个月失效问题

HTTPS 证书，又称为 SSL 证书，是一种数字证书，用于对网站的服务器进行身份验证和加密数据传输。它基于 HTTP 进行通信，但增加了 SSL/TLS 加密层，为数据的安全传输提供了强有力的保障。

01

ubuntu搭建内网穿透服务Ngrok

说些闲话：最近一直在乱折腾，看看C，看看Python，又打算去看一下PHP，然后又是前端的Vue.Js，最后发现——嗯？我都在干些什么？当然不论是在做什么，看什么，基本上还是在学习，这个状态还是比较满意的。值得一提的是，当我发现bash的好用之处后，毫不犹豫的就把我的开发环境迁移到了还算是比较熟悉的Linux发行版本——Ubuntu上。然后就开始了在Ubuntu上的折腾之旅。因为是用虚拟机搭建的Ubuntu，所以绝大多数情况下，开着VM使用虚拟机的感觉和真机体验差别并不大，虽然有考虑收购一台二手笔记

07

前后端都用得上的 Nginx 日常使用经验

最基本组成：一个 server 节点一个域名配置，要添加其他配置添加 server 节点即可

03

在CentOS上安装Nginx配置HTTPS并设置系统服务和开机启动（最全教程）

GCC 是 Linux 下最主要的编译工具，GCC 不仅功能非常强大，结构也非常灵活。它可以通过不同的前端模块来支持各种语言，如 Java、Fortran、Pascal、Modula-3 和 Ada。

03

NGINX部署HTTPS

0x00 前言 nginx是一款高性能的Web服务器，可以用作反向代理和负载均衡。随着HTTPS的不断推进，越来越多的网站都开始转到HTTPS方式，HTTP仅仅作为重定向到HTTPS的途径。本文介绍了如何在Ubuntu 16.04服务器上搭建基于nginx的HTTPS服务器，并且支持SNI。 0x01 准备域名和HTTPS证书域名分为免费域名和收费域名免费域名免费域名包含一级域名和二级域名。一级域名推荐的是：TK域名，每次申请12个月以下是免费的，到期前14天可以免费续期。不过网上说可能会被收回，

05

Let's Encrypt 被DNS污染导致苹果手机访问速度慢，Nginx 可以开启 OCSP 解决

最近突然发现我的网站在苹果手机上Safari浏览器上第一次会访问会非常慢，但只要第一次访问后，后续的访问速度均不受影响...这就纳闷了，网站速度我都是优化过的，为什么会存在这种情况呢？困扰我许久，因为只有手机访问才这样，在电脑上访问速度都很快，完全没有头绪...

04

Nginx同一个IP上多个域名配置安装SSL证书

在同一台服务器上配置多个带有SSL证书的HTTPS网站时，每个网站确实需要使用不同的端口号，以避免冲突。这是因为SSL/TLS协议通常是在特定的端口上运行的，默认情况下是443端口。

02

NGINX部署HTTPS

nginx是一款高性能的Web服务器，可以用作反向代理和负载均衡。随着HTTPS的不断推进，越来越多的网站都开始转到HTTPS方式，HTTP仅仅作为重定向到HTTPS的途径。

03

Nginx开启OCSP以解决Let's Encrypt证书被DNS污染访问缓慢

最近突然发现我的网站在苹果手机上Safari浏览器上第一次会访问会非常慢，但只要第一次访问后，后续的访问速度均不受影响...这就纳闷了，网站速度我都是优化过的，为什么会存在这种情况呢？困扰我许久，因为只有手机访问才这样，在电脑上访问速度都很快，完全没有头绪。

04

二级域名多用什么类型SSL证书 ?

通常来说一个企业因为业务的需要，会有很多的二级域名，目前用ssl证书来实现https加密已成为共识，但一张ssl证书只能给一个网站使用，二级域名多难道需要购买很多张ssl证书吗？如果为每一个二级域名都申请一张ssl证书是不现实的，二级域名多用什么类型的SSL证书呢？

01

CentOS下申请let's encrypt SSL证书

title: CentOS下申请let’s encrypt SSL证书 date: 2020-04-01 23:31:42 tags: [Hexo,建站] categories: [建站]

02

全民 https！使用 FreeSSL 申请免费的 https 证书

到现在还不为你的网站添加 https 的话，浏览器已经会非常显眼地显示“不安全”了。

03

Docker Data Center系列（五）- 使用自定义的TLS安全认证

commonName(CN)设置为UCP（DTR）所在主机名或FQDN。也可以设置为一个泛域名（*.yourcompany.com），其它都使用默认值。

07

深入理解nginx的https sni机制

SNI（Server Name Indication）是一种TLS（Transport Layer Security）协议的扩展，用于在建立加密连接时指定服务器的主机名。在使用单个IP地址和端口提供多个域名的服务时，SNI是非常有用的。当客户端发起TLS握手时，它会发送一个包含所请求主机名的扩展，这样服务器就可以根据这个主机名选择合适的证书来完成握手。这使得服务器能够在同一IP地址和端口上为多个域名提供加密连接，而不需要为每个域名分配一个独立的IP地址。对于HTTPS网站来说，SNI是至关重要的，因为它允许服务器在同一IP地址上为多个域名提供加密连接，不需要为每个域名单独部署一台服务器，从而降低了运维成本并提高了灵活性。在使用SNI时，服务器端必须能够根据客户端发送的SNI信息来选择正确的证书进行握手。通常，服务器端配置会包含多个虚拟主机的证书信息，以便根据收到的SNI信息选择正确的证书来完成握手。总的来说，SNI允许客户端在TLS握手期间指定所请求的主机名，从而使服务器能够根据主机名选择正确的证书，实现一个IP地址上多个域名的加密连接。

01

云服务器搭建自己的ngrok服务-实现内网穿透

优点：限制少，可玩性高，安全性高，完全可以删除花生壳、向日葵、TeamViewer等软件了。

01

利用OpenSSL签署多域名证书

openssl自建CA默认签署的是单域名证书，因为单台服务器上有多个https域名，签署多域名证书能方便很多，今天找了很久，除了一些卖证书的网站上有scr工具能加“使用者备用名称”，都没有找到openssl相关的添加方法。

03

一个ip, 两个域名, 两个ssl, 访问多个不同的项目

在前面一篇中说过, 入了好几个坑. 后来使用了nginx+tomcat配置的方式. 终于成功了. 因为头一次使用nginx, 不知道具体怎么操作, 于是我在操作的时候, 按照以下几个步骤执行的:

00

016.Nginx HTTPS

超文本传输安全协议HTTPS（Hypertext Transfer Protocol Secure）是超文本传输协议和SSL/TLS的组合，用以提供加密通讯及对网络服务器身份的鉴定。

01

OpenSSL曝出“严重”漏洞腾讯安全已支持全方位检测防护（CVE-2022-3786 和 CVE-2022-3602）

上周，加密和安全通信领域广泛应用的开源软件包OpenSSL曝出“严重”级别漏洞。直到11月1日，OpenSSL基金会终于发布OpenSSL 3.0.7版，并公布了已修补的两个高严重性漏洞细节。

IIS服务器域名证书续订

我们知道，在Windows的IIS服务器上，使用域名证书开启HTTPS并不是非常方便，在IIS 7.5及之前的版本上，添加HTTPS站点时，并不能指定主机头（即域名），需要加完之后，到IIS的配置文件中去修改配置，增加了一定的难度；而且如果之后相关的配置有变动，也可能会影响到之前的HTTPS站点，有很多坑。而域名证书到期，需要换证书的话，如果之前添加过很多个HTTPS站点，都会受到影响，需要一个一个的站点重新选择证书，重新修改IIS的配置文件，是一个让人头疼的操作。那如果是域名证书到期了，有没有什么办法可以简化我们的操作呢？答案是有的，那就是使用证书续订操作。证书续订，需要的证书格式是cer的，我们以从阿里云上申请的通配符域名证书为例来说一下。从阿里云后台下载下来的域名证书格式，有pem和pfx格式的，唯独没有cer格式的，需要自己转换一下。下面先说下格式转换吧： pem转cer，需要使用openssl，另外需要key文件。一共需要进行3次转换操作，才能转成cer格式： 1.先从pem转到p12，之后需要设置密码：

06

如何在XSwitch中开启TLS

随着时代的发展，TLS也慢慢成了SIP通信的标配，下面我们来看一下如何在XSwitch中开启TLS支持。

02

HTTPS安全优化配置最佳实践指南简述

描述: 当下越来越多的网站管理员为企业站点或自己的站点进行了SSL/TLS配置, SSL/TLS 是一种简单易懂的技术，它很容易部署及运行，但要对其进行安全部署的情况下通常是不容易。

01

PKI - 借助Nginx实现_客户端使用CA根证书签发客户端证书

通过执行这两个命令，您可以生成一个自签名的根证书，用于签发其他证书，如服务器证书、客户端证书等。

00

acme.sh 申请 ZeroSSL 泛域名证书

原本用的阿里腾讯免费ssl 发现过期更新起来比较麻烦于是就折腾使用acme.sh 自动申请泛域名ssl ZeroSSL。

03

Kubernetes traefik tls证书到期替换

ssl证书都是一年签发的。到了六月份了一年一度的证书替换的日子到了.......。过去的方法一直都是先delete secret，然后继续创建一个新的。这次就突发奇想的，还有其他方法吗......百度了一下还真的搜索到了：

01

Golang（十一）TLS 相关知识（二）OpenSSL 生成证书

0. 前言接前一篇文章，上篇文章我们介绍了数字签名、数字证书等基本概念和原理本篇我们尝试自己生成证书参考文献：TLS完全指南（二）：OpenSSL操作指南 1. OpenSSL 简介 OpenSSL 是一个开源项目，其组成主要包括三个组件： openssl：多用途的命令行工具 libcrypto：加密算法库 libssl：加密模块应用库，实现了ssl及tls OpenSSL 主要用于秘钥证书管理、对称加密和非对称加密 1.1 指令常用指令包括：genrsa、req、x509 1.1.1 genrs

01

利用 acme.sh 申请 ZeroSSL 泛域名证书的图文教程

今天跟彧繎聊天时发现他的站使用的也是泛域名证书而且是一年了，问了他才知道是收费的，当然并不贵，只是我没有admin开启的邮箱也就是admin#talklee.com，所以无法申请，恰巧看到明月登楼博主的博客也是SSL证书就咨询了以下，发现他的是zerossl的证书，当然跟青云的一样有效期三个月，但是zerossl可以通过acme.sh实现自动续费，目前acme泛域名貌似仅仅命令形式申请，在官网上申请的时候需要一些费用才行。

Ubuntu21编译安装tengine

服务器内部署了很多容器业务，但是许多业务都是需要用80端口对外发布的，会端口占用无法正常运行。所以决定使用nginx去反向代理对应服务，这样，就可以用80端口发布多个业务。业务容器映射至不同端口上，实现业务需求

01

Nginx如何开启配置多个证书

nginx支持TLS协议的SNI扩展（Server Name Indication，简单地说这个扩展使得在同一个IP上可以以不同的证书serv不同的域名）。不过，SNI扩展还必须有客户端的支持，另外本地的OpenSSL必须支持它。如果启用了SSL支持，nginx便会自动识别OpenSSL并启用SNI。是否启用SNI支持，是在编译时由当时的 ssl.h 决定的（SSL_CTRL_SET_TLSEXT_HOSTNAME），如果编译时使用的OpenSSL库支持SNI，则目标系统的OpenSSL库只要支持它就可以正常使用SNI了。

Jexus 5.8.2 正式发布为Asp.Net Core进入生产环境提供平台支持

Jexus 是一款运行于 Linux 平台，以支持 ASP.NET、PHP 为特色的集高安全性和高性能为一体的 WEB 服务器和反向代理服务器。最新版 5.8.2 已经发布，有如下更新： 1，现在大部分网站已经部署HTTPS，大家对于安全越来越重视，顺应潮流新增HTTPS多证书支持，每个网站都可以配置自己独立的SSL证书，现在有2种方式支持网站部署HTTPS。 A、添加全服务器使用的SSL配置：如果需要，可以添加一个ssl配置为所有没有单独配置ssl的网站提供共享，这个配置，对支持泛域名的证书提供了

06

使用Let's Encrypt保护你的数据包

Let's Encrypt是去年底推出的一个免费SSL证书，且申请这个证书基本没有任何限制，只要你证明你是域名的所有者，你就可以为你的域名申请一个SSL证书。

01

Http2基础及本地环境搭建

Http/2,超文本传输协议第二版，最初命名为http2.0,是http协议的第二个版本，使用于万维网。它是HTTP协议自1999年HTTP 1.1发布后的首个更新，主要基于SPDY协议。随着http2的标准的确定，各大浏览器的大力支持，http2这个字眼开始出现在我们的视野里。为什么要使用http2呢，它和之前的http有什么区别？

01

利用 acme.sh 申请 ZeroSSL 泛域名证书的图文教程

熟悉陌涛的都知道，陌涛一直都在使用 acme.sh 作为服务器端申请、部署、续期免费 SSL 证书的主要工具，今天在帮一个站长申请 SSL 证书的时候发现 acme.sh v3.0 开始默认的免费 SSL 证书变更为：ZeroSSL 了，这个 ZeroSSL 其实跟陌涛一直用的 Let's Encrypt 类似，在 2016 年就已经推出，和 Let's Encrypt 一样，证书有效期只有 90 天，支持泛域名 SSL 证书。和 Let's Encrypt 不同的是，ZeroSSL API 没有速率限制，不存在同一 IP 多次申请 SSL 证书被限制的问题,ZeroSSL 还提供了 WEB 界面可在后台管理 SSL 证书,相比 Let's Encrypt 功能更加丰富。

03

腾讯云 DNSPod 域名 API 申请 Let’s Encrypt 泛域名 SSL 证书过程记录

目前使用量最大的免费 SSL 证书就是 Let’s Encrypt 了，在 2018 年 3 月份 Let’s Encrypt 官方发布上线泛域名免费 SSL 证书，现在终于可以申请了。目前通过 DNS 方式获取比较快，国内可以通过腾讯云的 DNSPod 域名 API 和阿里云域名 API 自动颁发 Let’s Encrypt 泛域名 SSL 证书。本文记录腾讯云 DNSPod 域名 API 申请 Let’s Encrypt 泛域名 SSL 证书的过程。

08

Linux基础（day52）

12.17 Nginx负载均衡 Nginx负载均衡目录概要 vim /usr/local/nginx/conf/vhost/load.conf // 写入如下内容 upstream qq_com { ip_hash; server 61.135.157.156:80; server 125.39.240.113:80; } server { listen 80; server_name www.qq.com; location / {

07

【实战 Ids4】║ 给授权服务器加个锁——HTTPS配置

其实关于配置HTTPS，主要的就是证书的问题，证书呢，又是公钥和私钥的方案，剩下的就是配置了，归根结底，只要我们搞到证书就行了，这里常见的是两种方案：

03

网站升级HTTPS与HTTP2记录

最近看到两篇文章对于HTTPS与HTTP2两者讲解的很详细,分享并实践一下,正好近期捣鼓了一个个人站点https://mrdear.cn/,可以用来实验. 文章地址为什么要把网站升级到HTTPS 怎样把网站升级到http/2

04

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭