Estou tentando gerar um certificado SSL autoassinado para proteger os example.com e *.example.com . Olhando as respostas para isso e site de uma autoridade de certificação parece sugerir que isso poderia ser feito.
Atualmente, estas são as alterações adicionadas ao meu arquivo de configuração openssl:
[req]
req_extensions = v3_req
[req_distinguished_name]
commonName = example.com
[v3_req]
subjectAltName = @alt_names
[alt_names]
DNS.1 = example.com
DNS.2 = *.example.com
Eu tentei a configuração acima e gerou um certificado. Ao navegar para https://example.com , ele produz o aviso usual de que o certificado é "autoassinado". Após a aceitação, eu naveguei para https://abc.example.com e um aviso adicional é produzido, dizendo que o certificado é válido apenas para example.com .
Os detalhes do certificado só listaram example.com na hierarquia de certificados sem sinais de presença de subdomínio de caractere curinga.
Não tenho certeza se isso ocorre devido a uma configuração incorreta ou se o nome comum deve ter um caractere curinga ou que isso não pode ser feito.
Atualizações adicionais:
Isto é o que eu recebo visualizando a solicitação de certificado com o openssl:
# openssl req -text -noout -in eg.csr
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=xx, L=Location, O=Example Pte Ltd, CN=example.com/[email protected]
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c1:c7:0d:7e:b7:48:d3:b8:9a:5a:88:db:c2:91:
...
Exponent: 65537 (0x10001)
Attributes:
Requested Extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:example.com, DNS:*.example.com
Signature Algorithm: sha1WithRSAEncryption
4d:4a:8a:d9:32:e2:31:c5:6c:8c:6a:2a:a6:c3:17:63:dd:a4:
...
E é isso que eu vejo visualizando o certificado:
# openssl x509 -in eg.crt -noout -text
Certificate:
Data:
Version: 1 (0x0)
Serial Number:
d0:9e:b3:d5:83:b5:a1:0d
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=xx, L=Location, O=Example Pte Ltd, CN=example.com/[email protected]
Validity
Not Before: Sep 30 10:16:34 2012 GMT
Not After : Sep 30 10:16:34 2013 GMT
Subject: C=xx, L=Location, O=Example Pte Ltd, CN=example.com/[email protected]
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:c1:c7:0d:7e:b7:48:d3:b8:9a:5a:88:db:c2:91:
...
Exponent: 65537 (0x10001)
Signature Algorithm: sha1WithRSAEncryption
3d:98:0d:f1:1b:06:27:63:09:14:4d:41:37:49:eb:70:15:1c:
...
Quando visto através de um navegador, o campo de certificado deve conter uma extensão para o nome alternativo do assunto. Mas não estava lá. Eu suponho que poderia haver alguns problemas ao gerar o certificado se isso realmente pudesse ser alcançado.
Sim, funciona muito bem. Você normalmente vê o caractere curinga como o Assunto do certificado em caracteres curinga emitidos por autoridades de certificação públicas, com o domínio base como um Nome alternativo de assunto, mas acredito que o acordo oposto funciona também.
Dê uma olhada no certificado que você gerou - os nomes de usuário estão corretamente incorporados ao certificado?
Tags openssl https ssl-certificate