工具准备
生成自签名通配符证书需要以下工具:
OpenSSL生成证书
通过命令行生成包含通配符的证书:
- 生成4096位私钥:
openssl genrsa -out wildcard.key 4096 - 创建证书签名请求(CSR):
openssl req -new -key wildcard.key -subj "/CN=*.example.com" -out wildcard.csr - 生成十年有效期证书:
openssl x509 -req -days 3650 -in wildcard.csr -signkey wildcard.key -out wildcard.crt
mkcert快速签发
使用mkcert简化流程:
mkcert -install mkcert "*.example.com" 192.168.1.100 --cert-file wildcard.crt --key-file wildcard.key
该工具自动生成受信根证书,支持多域名/IP组合
验证与部署
完成生成后需执行:
- 将CA证书导入设备信任列表
- 服务器配置证书路径:
ssl_certificate /path/wildcard.crt;
ssl_certificate_key /path/wildcard.key; - 使用
openssl x509 -text -noout -in wildcard.crt验证有效期
自签名通配符证书可节省成本并简化多子域名管理,但需注意浏览器安全警告需手动安装根证书。建议在内网环境或开发测试场景使用,生产环境仍需购买商业证书
