openssl签署自己的泛域名（通配符）证书

!!!! 火狐浏览器对多CN的通配符识别有问题，只识别第一个，所以建议用备用主机名（DNS）方式,。已测试有效 !!!!

10年积累的成都做网站、网站制作经验，可以快速应对客户对网站的新想法和需求。提供各种问题对应的解决方案。让选择我们的客户得到更好、更有力的网络服务。我虽然不认识你，你也不认识我。但先网站设计后付款的网站建设流程，更有广东免费网站建设让你可以放心的选择与我们合作。

openssl自建CA默认签署的是单域名证书，因为单台服务器上有多个https域名，有的时候希望一个证书能解决所有问题，如果是同一个顶级域名，那么泛域名（通配符）证书正好适合你

不需要修改openssl.cnf，其他有的扩展最好都注释掉，不注释也不影响

只要在输入域名（CN）的时候，把www.baidu.com 改成 *.baidu.com
!!这里要注意， a.b.baidu.com  要写成 *.b.baidu.com

!!另外， 经过测试，泛域名可以和多CN方式同时使用，在多CN填写域名的时候用*.xxx.com代替。
至于备用主机名方式，大家可以自行测试。

其他的步骤：

openssl.cnf中会要求部分文件及目录存在：

[root@localhost]#mkdir -p CA/{certs,crl,newcerts,private}

[root@localhost]# touch CA/index.txt

[root@localhost]#echo 00 > CA/serial

1.生成ca.key并自签署

openssl req -new -x509 -days 3650 -keyout ca.key -out ca.crt -config openssl.cnf

2.生成server.key(名字不重要)
openssl genrsa -out server.key 2048

3.生成证书签名请求
openssl req -new -key server.key -out server.csr -config openssl.cnf
Common Name 就是在这一步填写的，*.baidu.com

4.使用自签署的CA，签署server.scr
openssl ca -days 180 -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
#输入第一步设置的密码，一直按y就可以了

server.crt server.key就是web服务器中使用的文件。

NGINX 双向认证

如果要做NGINX客户端证书验证的话，重复2、3、4，并执行下面命令生成个人证书
5.生成个人证书
openssl  pkcs12 -export -inkey xxx.key -in xxx.crt -out  xxx.p12

将个人证书导入pc，同时在nginx ssl基础上增加设置：
ssl_verify_client on;
ssl_client_certificate ca.crt;