Linux如何创建一个多域名通配符SSL证书

搜索引擎关键字：在线自签名SSL证书。自签名的证书不会被浏览器信任，如果用于小程序或者APP应用等开发，就没有办法，必须要买多域名通配符才可以。

申请多域名通配符SSL证书：

将确定需要的域名准备好。

进入淘宝里面找到：Gworg，选择通配符多域名SSL证书。

根据要求完成域名解析认证，获得证书配置即可。

有无解决办法：Gworg获得多域名通配符SSL证书。

第一步：生成多域名证书的CSR

方法一：用openssl生成多域名证书的CSR

How to generate a new Certificate Signing Request (CSR):

Generate a TLS private key if you don't have one:

openssl genrsa 4096 >domain.key

Generate a CSR for your the domains you want certs for:

(replace "foo.com" with your domain)

Linux:

#change "/etc/ssl/openssl.cnf" as needed:

#  Debian: /etc/ssl/openssl.cnf

#  RHEL and CentOS: /etc/pki/tls/openssl.cnf

#  Mac OSX: /System/Library/OpenSSL/openssl.cnf

openssl req -new -sha256 -key domain.key -subj "/" \

-reqexts SAN -config <(cat /etc/ssl/openssl.cnf \

<(printf "[SAN]\nsubjectAltName=DNS:foo.com,DNS:www.foo.com"))

方法二：用java下的keytool生成多域名证书的CSR

keytool -genkeypair -dname "CN=example.com"  -keyalg RSA  -alias example -keypass 123456 -keystore example.jks  -storepass 123456 -validity 3650

keytool -certreq -keyalg RSA -keystore example.jks -storepass 123456 -alias example -ext san=dns:www.example.com -file example.csr

第二步：将CSR提交给CA去签名

第三步：将签名结果、中间证书和根证书配置到服务器上，或先导入到keystore中，再把keystore配置到服务器上。

注意：有人声称可以在dname中配置多个CN来制作多域名证书，经过测试，这个方法是行不通的，在导入签名结果后，只有第一个CN生效。

请直接在Gworg获得tomcat专用的SSL证书，会提供对应的证书类型与密码。

解释原因：

SSL证书拥有多种类型与规格不同，请在正规的CA机构申请SSL证书。

请使用商用证书SSL证书拥有安全保险、签发机构默认计算机根信任、较高标准全新的加密产品、更严格的实名认证体系管理、强大的一体化安全检测服务、SSL证书签发徽章表明展现认证、稳定产品生命线的维护与管理、证书内或浏览器地址栏展示认证、永恒安全的保障让一切正规化，支持ECC与RSA证书使用。

如果存在多个域名选择通配符或者多域名证书。

解决办法：Gworg直接拿到tomcat证书。

---