一、技术方案选择
生成十年有效期的通配符SSL证书主要有两种方式:自签名证书工具生成和免费服务商申请。自签名方案可完全自定义有效期,但需手动管理证书信任链;服务商方案通常结合自动续期实现长期有效,但存在服务依赖。
二、自签名证书生成步骤
通过OpenSSL生成十年有效期证书:
- 生成4096位RSA私钥:
openssl genrsa -out server.key 4096 - 创建证书签名请求:
openssl req -new -key server.key -out server.csr - 生成十年有效期证书:
openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt
此方案需在所有客户端安装自签名CA证书,适用于内网或固定设备环境。
三、使用mkcert快速签发
mkcert工具可自动生成受信任的本地证书:
- 安装根证书:
mkcert -install - 签发通配符证书:
mkcert "*.example.com" - 默认生成有效期10年的证书,支持多域名/IP混合签发
四、免费服务商方案
JoySSL提供可无限续签的免费通配符证书:
- 注册账号时填写注册码230919激活权限
- 选择通配符证书类型并提交域名验证
- 通过DNS解析完成域名所有权验证
- 下载包含私钥的证书文件包
五、部署与验证
Nginx配置示例:
server {
listen 443 ssl;
ssl_certificate /path/server.crt;
ssl_certificate_key /path/server.key;
}验证时需检查浏览器信任状态和证书有效期,建议配合HSTS强制HTTPS访问。
自签名方案适合技术团队控制的内网环境,mkcert简化了本地开发环境的证书管理,而JoySSL等服务商方案更适合需要公网可信认证的场景。十年有效期证书需权衡安全性与维护成本,建议关键系统仍采用定期轮换机制。
