自签证书的基本原理
自签证书是由开发者或管理员自行生成的SSL证书,无需依赖第三方证书颁发机构(CA)。其核心是通过OpenSSL等工具生成私钥和证书文件,并在生成过程中指定通用名称(CN)和主题备用名称(SAN),从而实现域名绑定。
多DNS名称的实现方式
通过修改OpenSSL配置文件(openssl.cnf),在subjectAltName字段中添加多个DNS记录即可实现多域名绑定。例如:
[alt_names]
DNS.1 = domain1.com
DNS.2 = domain2.com此方法允许在单个证书中同时保护多个主域名或子域名,适用于需要统一管理多个站点的场景。
配置步骤详解
- 生成根CA密钥和证书:使用
openssl genrsa和openssl req -x509命令创建根证书 - 创建服务器CSR请求:在CSR配置文件中定义多个DNS名称
- 签署证书:通过
openssl x509 -req命令生成最终证书文件,并验证SAN字段是否生效
注意事项与局限性
自签证书绑定多DNS名称时需注意:
- 浏览器默认不信任自签证书,需手动安装根CA证书
- 通配符证书(*.domain.com)无法覆盖多级子域名
- 企业级场景建议使用商业多域名证书,以解决信任链问题
自签证书可通过技术手段实现多DNS名称绑定,但主要适用于测试环境或内部系统。生产环境中如需支持多域名且要求浏览器自动信任,建议采用正规CA机构颁发的多域名证书或通配符证书。
