一、生成证书签名请求(CSR)
通过OpenSSL工具生成包含通配符域名的密钥对,执行命令时需指定*.example.com格式:
- 生成2048位RSA私钥:
openssl genrsa -out wildcard.key 2048 - 创建CSR文件:
openssl req -new -key wildcard.key -out wildcard.csr
| 字段 | 示例值 |
|---|---|
| Common Name | *.example.com |
| Organization | Company Ltd |
二、完成域名所有权验证
主流CA支持三种验证方式:
- DNS TXT记录验证(推荐)
- HTTP文件验证
- 邮箱验证(需使用WHOIS注册邮箱)
通过dig TXT _acme-challenge.example.com命令确认DNS记录生效
三、证书签发与密钥管理
通过自动化接口或CA控制台获取证书文件:
- 下载包含中间证书的完整链
- 验证证书链完整性:
openssl verify -CAfile chain.crt wildcard.crt - 使用硬件安全模块(HSM)存储私钥
四、安装与服务器配置
以Nginx为例的配置要点:
ssl_certificate /path/wildcard_chain.crt;
ssl_certificate_key /path/wildcard.key;
ssl_protocols TLSv1.3;部署后使用curl -Iv https://test.example.com验证证书链
新一代通配符证书通过自动化签发流程与密钥轮换机制,显著提升多子域名环境下的运维效率。建议采用ECDSA算法替代传统RSA以增强安全性,并建立90天自动续期策略
