开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

openssl泛域名

基础概念

OpenSSL 是一个开源的安全套接层协议库，提供了丰富的加密算法、密钥和证书管理功能。泛域名（Wildcard Domain）是指使用通配符 * 来表示一个或多个子域名的域名。例如，*.example.com 可以匹配 www.example.com、mail.example.com 等。

相关优势

灵活性：泛域名证书可以保护多个子域名，减少了证书管理的复杂性。
成本效益：相比于为每个子域名单独购买证书，泛域名证书通常更经济。
简化管理：只需管理一个证书即可覆盖多个子域名，降低了运维成本。

类型

泛域名证书主要有以下几种类型：

DV（Domain Validation）泛域名证书：仅验证域名所有权，适用于不涉及敏感数据的网站。
OV（Organization Validation）泛域名证书：除了验证域名所有权，还验证组织信息，适用于需要更高信任度的网站。
EV（Extended Validation）泛域名证书：提供最高级别的验证，显示绿色的公司名称和地址，适用于金融、电子商务等高风险行业。

应用场景

泛域名证书广泛应用于以下场景：

多子域名保护：当一个主域名下有多个子域名时，使用泛域名证书可以一次性保护所有子域名。
动态子域名：对于动态生成的子域名，如用户个人页面、API 服务等，泛域名证书提供了便捷的保护方式。
CDN 和负载均衡：在使用内容分发网络（CDN）或负载均衡器时，泛域名证书可以简化证书配置和管理。

常见问题及解决方法

问题：为什么无法生成泛域名证书？

原因：

DNS 验证失败：OpenSSL 在生成泛域名证书时需要进行 DNS 验证，如果 DNS 记录配置不正确，会导致验证失败。
通配符使用错误：泛域名证书的通配符 * 只能出现在子域名的最左边，例如 *.example.com 是正确的，而 sub.*.example.com 是错误的。

解决方法：

检查 DNS 记录是否正确配置，确保能够通过 DNS 验证。
确保通配符 * 使用正确，只出现在子域名的最左边。

问题：如何使用 OpenSSL 生成泛域名证书？

示例代码：

# 生成私钥
openssl genrsa -out wildcard.key 2048

# 生成证书签名请求（CSR）
openssl req -new -key wildcard.key -out wildcard.csr -subj "/C=US/ST=State/L=City/O=Organization/CN=*.example.com"

# 生成自签名证书（仅用于测试）
openssl x509 -req -days 365 -in wildcard.csr -signkey wildcard.key -out wildcard.crt

参考链接：

总结

泛域名证书通过使用通配符 * 来保护多个子域名，具有灵活性、成本效益和简化管理等优势。在生成和使用泛域名证书时，需要注意 DNS 验证和通配符的正确使用。通过 OpenSSL 工具，可以方便地生成和管理泛域名证书。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

制作自签名泛域名证书

出于测试的目的，有时候急需一张证书，一般申请的流程比较麻烦，而且泛域名证书收费，于是本文介绍一下自己制作一张自签名泛域名证书，设置一个比较长的期限，这样就可以方便测试啦~~

07

【玩转腾讯云】为网站上云SSL证书

申请SSL证书分为免费和收费方式。收费方式和免费的区别是，收费的CA机构签发检查资质更严格，收费证书的安全，这意味着如果在一个对安全领域要求更高的场合倾向于使用收费证书。另外收费的证书支持更多的功能，比如说多域名和泛域名证书，往往免费的证书不支持。

SSL证书的区别和申请办法

从2017年开始意味着浏览器迁移HTTPS的重要开始，因为Chrome 56版本讲HTTP标记为非安全的网站。证书是用于SSL安全通信信道鉴权，它可以防止中间人攻击。证书有一条信任链，证书的真实安全身份由签发者提供保证，这一个信任关系常见的有2~4级，根证书的机构就是那些知名机构，这些知名机构被安装于世界上几乎所有主流的浏览器。一个证书通过工具查看到证书的拥有者和签发者。

自签名SSL证书的创建与管理

创建自签名根根证书过程：生成CA私钥（.key）-->生成CA证书请求（.csr）-->自签名得到根证书（.crt）（CA给自已颁发的证书）

01

在Linux下如何根据域名自签发OpenSSL证书与常用证书转换修改openssl.cnf配置文件创建根证书自签发泛域名证书将crt转pem格式生成 p12 格式的

当然上述的公钥制作方式需要交互式输入信息，如果不想频繁输入，那么可以使用如下命令：

02

Letsencrypt 泛域名 SSL 证书免费申请

超文本传输安全协议（英语：Hypertext Transfer Protocol Secure，缩写：HTTPS，常称为 HTTP over TLS，HTTP over SSL 或 HTTP Secure）是一种网络安全传输协议。在计算机网络上，HTTPS 经由超文本传输协议进行通信，但利用 SSL/TLS 来加密数据包。HTTPS 开发的主要目的，是提供对网络服务器的身份认证，保护交换数据的隐私与完整性。这个协议由网景公司（Netscape）在1994年首次提出，随后扩展到互联网上。

05

敲黑板 | 如何在云帮上配置https

序相关组件介绍本次分享主要涉及到两个模块console模块和openresty模块。 console模块即云帮(ACP)控制台模块，为用户提供可视化Web操作界面，监听443端口即可，对证书需求

03

Nginx配置HTTPS详细说明

TLS或传输层安全( transport layer security)，它的前身是SSL(安全套接字层secure sockets layer)，是Web协议用来包裹在一个受保护，加密封装正常通道。采用这种技术，服务器和客户端之间可以安全地进行交互，而不用担心消息将被拦截和读取。证书系统帮助用户在核实它们与连接站点的身份。

04

5-5 各个服务应用启动

yum -y install gcc gcc-c++ autoconf automake make

02

【腾讯云的1001种玩法】轻松搭建内网穿透服务Ngrok

本文介绍如何使用ngrok服务进行内网穿透和域名映射,是一篇关于ngrok的教程类文章。

01

爽了！一分钟轻松搞定 SSL 证书自动续期，解决免费证书每 3 个月失效问题

HTTPS 证书，又称为 SSL 证书，是一种数字证书，用于对网站的服务器进行身份验证和加密数据传输。它基于 HTTP 进行通信，但增加了 SSL/TLS 加密层，为数据的安全传输提供了强有力的保障。

01

ubuntu搭建内网穿透服务Ngrok

说些闲话：最近一直在乱折腾，看看C，看看Python，又打算去看一下PHP，然后又是前端的Vue.Js，最后发现——嗯？我都在干些什么？当然不论是在做什么，看什么，基本上还是在学习，这个状态还是比较满意的。值得一提的是，当我发现bash的好用之处后，毫不犹豫的就把我的开发环境迁移到了还算是比较熟悉的Linux发行版本——Ubuntu上。然后就开始了在Ubuntu上的折腾之旅。因为是用虚拟机搭建的Ubuntu，所以绝大多数情况下，开着VM使用虚拟机的感觉和真机体验差别并不大，虽然有考虑收购一台二手笔记

07

ngrok+nginx 实现内网穿透共用80端口

穿透后，你的机器指定端口就直接暴露在外网上，3389，vnc,web服务等等任何服务都可以支持。微信开发需要回调web服务器接口，如果开发机器在内网，就无法调试。

02

NGINX部署HTTPS

0x00 前言 nginx是一款高性能的Web服务器，可以用作反向代理和负载均衡。随着HTTPS的不断推进，越来越多的网站都开始转到HTTPS方式，HTTP仅仅作为重定向到HTTPS的途径。本文介绍了如何在Ubuntu 16.04服务器上搭建基于nginx的HTTPS服务器，并且支持SNI。 0x01 准备域名和HTTPS证书域名分为免费域名和收费域名免费域名免费域名包含一级域名和二级域名。一级域名推荐的是：TK域名，每次申请12个月以下是免费的，到期前14天可以免费续期。不过网上说可能会被收回，

05

Nginx配置Https单向认证、双向认证以及多证书配置

Nginx为了支持Https需要安装http_ssl_module模块。在编译时需要带上--with-http_ssl_module参数。

02

Let's Encrypt 被DNS污染导致苹果手机访问速度慢，Nginx 可以开启 OCSP 解决

最近突然发现我的网站在苹果手机上Safari浏览器上第一次会访问会非常慢，但只要第一次访问后，后续的访问速度均不受影响...这就纳闷了，网站速度我都是优化过的，为什么会存在这种情况呢？困扰我许久，因为只有手机访问才这样，在电脑上访问速度都很快，完全没有头绪...

04

Nginx配置Https单向认证、双向认证以及多证书配置

Nginx为了支持Https需要安装http_ssl_module模块。在编译时需要带上--with-http_ssl_module参数。

02

NGINX部署HTTPS

nginx是一款高性能的Web服务器，可以用作反向代理和负载均衡。随着HTTPS的不断推进，越来越多的网站都开始转到HTTPS方式，HTTP仅仅作为重定向到HTTPS的途径。

03

Nginx开启OCSP以解决Let's Encrypt证书被DNS污染访问缓慢

最近突然发现我的网站在苹果手机上Safari浏览器上第一次会访问会非常慢，但只要第一次访问后，后续的访问速度均不受影响...这就纳闷了，网站速度我都是优化过的，为什么会存在这种情况呢？困扰我许久，因为只有手机访问才这样，在电脑上访问速度都很快，完全没有头绪。

04

CentOS下申请let's encrypt SSL证书

title: CentOS下申请let’s encrypt SSL证书 date: 2020-04-01 23:31:42 tags: [Hexo,建站] categories: [建站]

02

前后端都用得上的 Nginx 日常使用经验

最基本组成：一个 server 节点一个域名配置，要添加其他配置添加 server 节点即可

03

Docker Data Center系列（五）- 使用自定义的TLS安全认证

commonName(CN)设置为UCP（DTR）所在主机名或FQDN。也可以设置为一个泛域名（*.yourcompany.com），其它都使用默认值。

07

在CentOS上安装Nginx配置HTTPS并设置系统服务和开机启动（最全教程）

GCC 是 Linux 下最主要的编译工具，GCC 不仅功能非常强大，结构也非常灵活。它可以通过不同的前端模块来支持各种语言，如 Java、Fortran、Pascal、Modula-3 和 Ada。

03

云服务器搭建自己的ngrok服务-实现内网穿透

优点：限制少，可玩性高，安全性高，完全可以删除花生壳、向日葵、TeamViewer等软件了。

01

如何在XSwitch中开启TLS

随着时代的发展，TLS也慢慢成了SIP通信的标配，下面我们来看一下如何在XSwitch中开启TLS支持。

02

Kubernetes traefik tls证书到期替换

ssl证书都是一年签发的。到了六月份了一年一度的证书替换的日子到了.......。过去的方法一直都是先delete secret，然后继续创建一个新的。这次就突发奇想的，还有其他方法吗......百度了一下还真的搜索到了：

01

全民 https！使用 FreeSSL 申请免费的 https 证书

到现在还不为你的网站添加 https 的话，浏览器已经会非常显眼地显示“不安全”了。

03

腾讯云 DNSPod 域名 API 申请 Let’s Encrypt 泛域名 SSL 证书过程记录

目前使用量最大的免费 SSL 证书就是 Let’s Encrypt 了，在 2018 年 3 月份 Let’s Encrypt 官方发布上线泛域名免费 SSL 证书，现在终于可以申请了。目前通过 DNS 方式获取比较快，国内可以通过腾讯云的 DNSPod 域名 API 和阿里云域名 API 自动颁发 Let’s Encrypt 泛域名 SSL 证书。本文记录腾讯云 DNSPod 域名 API 申请 Let’s Encrypt 泛域名 SSL 证书的过程。

08

群晖NAS配置之自有服务器ngrok实现内网穿透

内网穿透是指通过一种技术让外部网络可以访问到内网的NAS设备，这样即使在不同网络环境下，也能够远程访问和管理NAS设备。以下是一些常见的内网穿透方案：

01

OpenSSL曝出“严重”漏洞腾讯安全已支持全方位检测防护（CVE-2022-3786 和 CVE-2022-3602）

上周，加密和安全通信领域广泛应用的开源软件包OpenSSL曝出“严重”级别漏洞。直到11月1日，OpenSSL基金会终于发布OpenSSL 3.0.7版，并公布了已修补的两个高严重性漏洞细节。

13 Mar 2023 let’s encrypt使用tips

生成的证书可以给子域名比如sub1.reborncodinglife.com或者sub2.reborncodinglife.com使用。

03

一个ip, 两个域名, 两个ssl, 访问多个不同的项目

在前面一篇中说过, 入了好几个坑. 后来使用了nginx+tomcat配置的方式. 终于成功了. 因为头一次使用nginx, 不知道具体怎么操作, 于是我在操作的时候, 按照以下几个步骤执行的:

00

HTTPS安全优化配置最佳实践指南简述

描述: 当下越来越多的网站管理员为企业站点或自己的站点进行了SSL/TLS配置, SSL/TLS 是一种简单易懂的技术，它很容易部署及运行，但要对其进行安全部署的情况下通常是不容易。

01

016.Nginx HTTPS

超文本传输安全协议HTTPS（Hypertext Transfer Protocol Secure）是超文本传输协议和SSL/TLS的组合，用以提供加密通讯及对网络服务器身份的鉴定。

01

腾讯云 DNSPod 域名 API 申请 Let’s Encrypt 泛域名 SSL 证书过程记录

目前使用量最大的免费 SSL 证书就是 Let’s Encrypt 了，在 2018 年 3 月份 Let’s Encrypt 官方发布上线泛域名免费 SSL 证书，现在终于可以申请了。目前通过 DNS 方式获取比较快，国内可以通过腾讯云的 DNSPod 域名 API 和阿里云域名 API 自动颁发 Let’s Encrypt 泛域名 SSL 证书。本文记录腾讯云 DNSPod 域名 API 申请 Let’s Encrypt 泛域名 SSL 证书的过程。要使用腾讯云 API 申请 Let’s Encryp

05

Nginx同一个IP上多个域名配置安装SSL证书

在同一台服务器上配置多个带有SSL证书的HTTPS网站时，每个网站确实需要使用不同的端口号，以避免冲突。这是因为SSL/TLS协议通常是在特定的端口上运行的，默认情况下是443端口。

02

子域名申请及使用 & 腾讯云

记住哈，SSL证书可以单独申请，可申请具体域名、也可以使用泛域名，但是申请泛域名解析需要额外付费。普通人还是以固定域名申请。泛域名证书只需要申请一次，其子域名都可以使用泛域名的SSL证书。

05

利用OpenSSL签署多域名证书

openssl自建CA默认签署的是单域名证书，因为单台服务器上有多个https域名，签署多域名证书能方便很多，今天找了很久，除了一些卖证书的网站上有scr工具能加“使用者备用名称”，都没有找到openssl相关的添加方法。

03

深入理解nginx的https sni机制

SNI（Server Name Indication）是一种TLS（Transport Layer Security）协议的扩展，用于在建立加密连接时指定服务器的主机名。在使用单个IP地址和端口提供多个域名的服务时，SNI是非常有用的。当客户端发起TLS握手时，它会发送一个包含所请求主机名的扩展，这样服务器就可以根据这个主机名选择合适的证书来完成握手。这使得服务器能够在同一IP地址和端口上为多个域名提供加密连接，而不需要为每个域名分配一个独立的IP地址。对于HTTPS网站来说，SNI是至关重要的，因为它允许服务器在同一IP地址上为多个域名提供加密连接，不需要为每个域名单独部署一台服务器，从而降低了运维成本并提高了灵活性。在使用SNI时，服务器端必须能够根据客户端发送的SNI信息来选择正确的证书进行握手。通常，服务器端配置会包含多个虚拟主机的证书信息，以便根据收到的SNI信息选择正确的证书来完成握手。总的来说，SNI允许客户端在TLS握手期间指定所请求的主机名，从而使服务器能够根据主机名选择正确的证书，实现一个IP地址上多个域名的加密连接。

01

RSA 证书加解密通信

经常有需要使用安全传输的场景，尤其是在一些泛及资金安全的行业，对数据的传输犹为重视安全性。一般常用的就是对前参的数据进行加密，再到后台进行解密。接口和接口之前的数据也用一样的方式进行加密和解密。

03

影响1100万网站的漏洞出没作妖，工程师急cry，怎么办？

本是阳春三月好时光，OpenSSL却在此时爆出了高危漏洞drown，一时间让运维小哥们头顶阴云笼罩。这个在安全圈掀起惊涛骇浪的drown漏洞到底是何方妖孽？！运维同学们该如何将它消灭？且听云小哥为您解答。 drown漏洞是什么？在北京时间2016年3月2日，OpenSSL 官方发布安全公告，公布了一利用SSLv2协议弱点来对TLS进行跨协议攻击的安全漏洞CVE-2016-0800，即drown漏洞，影响使用了SSLv2协议的用户。发现这一漏洞的相关研究人员表示，受影响的HTTPS服务器数量大约为1150万

08

Golang（十一）TLS 相关知识（二）OpenSSL 生成证书

0. 前言接前一篇文章，上篇文章我们介绍了数字签名、数字证书等基本概念和原理本篇我们尝试自己生成证书参考文献：TLS完全指南（二）：OpenSSL操作指南 1. OpenSSL 简介 OpenSSL 是一个开源项目，其组成主要包括三个组件： openssl：多用途的命令行工具 libcrypto：加密算法库 libssl：加密模块应用库，实现了ssl及tls OpenSSL 主要用于秘钥证书管理、对称加密和非对称加密 1.1 指令常用指令包括：genrsa、req、x509 1.1.1 genrs

01

IIS服务器域名证书续订

我们知道，在Windows的IIS服务器上，使用域名证书开启HTTPS并不是非常方便，在IIS 7.5及之前的版本上，添加HTTPS站点时，并不能指定主机头（即域名），需要加完之后，到IIS的配置文件中去修改配置，增加了一定的难度；而且如果之后相关的配置有变动，也可能会影响到之前的HTTPS站点，有很多坑。而域名证书到期，需要换证书的话，如果之前添加过很多个HTTPS站点，都会受到影响，需要一个一个的站点重新选择证书，重新修改IIS的配置文件，是一个让人头疼的操作。那如果是域名证书到期了，有没有什么办法可以简化我们的操作呢？答案是有的，那就是使用证书续订操作。证书续订，需要的证书格式是cer的，我们以从阿里云上申请的通配符域名证书为例来说一下。从阿里云后台下载下来的域名证书格式，有pem和pfx格式的，唯独没有cer格式的，需要自己转换一下。下面先说下格式转换吧： pem转cer，需要使用openssl，另外需要key文件。一共需要进行3次转换操作，才能转成cer格式： 1.先从pem转到p12，之后需要设置密码：

06

Nginx反向代理，建立Google镜像

进入nginx目录，执行git checkout release-1.13.9选定版本进入ngx_http_google_filter_module目录，执行git checkout 0.2.0选定版本进入ngx_http_substitutions_filter_module目录，执行git checkout v0.6.4选定版本

02

Nginx反向代理，建立Google镜像

进入nginx目录，执行git checkout release-1.13.9选定版本进入ngx_http_google_filter_module目录，执行git checkout 0.2.0选定版本进入ngx_http_substitutions_filter_module目录，执行git checkout v0.6.4选定版本

01

GitLab 神奇问题之ssl

今天配置 GitLab 时为 GitLab Pages 配置 SSL 总是有问题，大概表现为：

01

深入了解SSL证书的要素和管理

证书是向对端证明SSL通信的安全身份，证明他是访问url的host域名的所有者。所以首先证书需要有域名信息。其实这里不止包括域名，精确地说，应该是可以表明服务端身份的信息。包括名字（Common Name，CN），组织单位（Organaziont Unit， OU），组织（Organazation，O），地理信息包括城市（Locality，L），洲/省（State, S），国家（Country，C）。这里的属性甚至可以出现多次或者不填，他们是可选的。issureUniqueId。

05

nginx制作和添加ssl证书

ssl证书可以去相关网站申请，例如阿里云有免费的可以使用。本文以openssl制作ssl证书，以作测试使用。

03

二级域名多用什么类型SSL证书 ?

通常来说一个企业因为业务的需要，会有很多的二级域名，目前用ssl证书来实现https加密已成为共识，但一张ssl证书只能给一个网站使用，二级域名多难道需要购买很多张ssl证书吗？如果为每一个二级域名都申请一张ssl证书是不现实的，二级域名多用什么类型的SSL证书呢？

01

acme.sh 申请 ZeroSSL 泛域名证书

原本用的阿里腾讯免费ssl 发现过期更新起来比较麻烦于是就折腾使用acme.sh 自动申请泛域名ssl ZeroSSL。

03

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭