自签证书

特别注意openssl版本

低版本按以下命令生成的自签证书,有可能添加信任后浏览器仍然提示无法信息.当前环境版本OpenSSL 3.0.15

root@tw:~/ssl# openssl version
OpenSSL 3.0.15 3 Sep 2024 (Library: OpenSSL 3.0.15 3 Sep 2024)

低版本的openssl升级

apt update
apt install openssl -y

生成带有 Subject Alternative Name (SAN) 的自签名证书。现代浏览器（如 Chrome 和 Firefox）要求证书中必须明确设置 SAN，否则即使 CN 匹配也会拒绝连接。 使用openssl x509 -in work.xyz.me.crt -text -noout确认证书中是否有 SAN 字段

单域名

openssl req -x509 -nodes -days 36500 -newkey rsa:2048 \
    -keyout work.xyz.me.key -out work.xyz.me.crt \
    -out work.xyz.me.csr \
    -subj "/C=CN/ST=Shanghai/L=Shanghai/O=My Company/OU=IT Department/CN=work.xyz.me" \
    -addext "subjectAltName=DNS:work.xyz.me"

泛解析域名

openssl req -x509 -nodes -days 36500 -newkey rsa:2048 \
    -keyout work.xyz.me.key -out work.xyz.me.crt \
    -subj "/C=CN/ST=Shanghai/L=Shanghai/O=My Company/OU=IT Department/CN=*.xyz.me" \
    -addext "subjectAltName=DNS:*.xyz.me"