使用openssl创建多泛域名及IP的自签名证书

在开发环境及私有环境下需要使用SSL，于是使用openssl创建自签发证书，支持多域名、泛域名、直接IP访问。

一、使用openssl生成证书自签名

openssl在centos中是标配，所以直接在centos中操作，因为要多个域名和IP，故而需要编辑一个配置文件，如下：

1	$ vim req.cnf

# 定义输入用户信息选项的"特征名称"字段名，该扩展字段定义了多项用户信息。
distinguished_name = req_distinguished_name
# 生成自签名证书时要使用的证书扩展项字段名，该扩展字段定义了要加入到证书中的一系列扩展项。
x509_extensions = v3_req

# 如果设为no，那么 req 指令将直接从配置文件中读取证书字段的信息，而不提示用户输入。
prompt = no

[req_distinguished_name]
#国家代码，一般都是CN(大写)
C = CN
#省份
ST = Beijing
#城市
L = Beijing
#企业/单位名称
O = phpkoo
#企业部门
OU = phpkoo
#证书的主域名
CN = phpkoo.com

##### 要加入到证书请求中的一系列扩展项 #####
[v3_req]
keyUsage = critical, digitalSignature, keyAgreement
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[ alt_names ]
DNS.1=第一个域名
DNS.2=第二个域名
DNS.N=第N个域名
IP.1=第一个IP
IP.2=第二个IP
IP.N=第N个IP

其中IP配置项，可有可无。

1 2	$ mkdir -p ssl/ $ openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout ./ssl/private.key -out ./ssl/ssl.crt -config ./req.cnf -sha256

至此证书生成完成

可以下载ssl目录下的private.key和ssl.crt文件

openssl 命令参数说明：

req 大致有3个功能：生成证书请求文件、验证证书请求文件和创建根CA。
-x509 说明生成自签名证书。
-nodes openssl req在自动创建私钥时，将总是加密该私钥文件，并提示输入加密的密码。可以使用”-nodes”选项禁止加密私钥文件。
-days 指定所颁发的证书有效期。
-key 指定输入的密钥，如果不指定此选项会根据 -newkey 选项的参数生成密钥对。
-newkey 指定生成一个新的密钥对，只有在没有 -key 选项的时候才生效，参数形式为rsa:numbits或者dsa:file，例如：rsa:2048 rsa表示创建rsa私钥，2048表示私钥的长度。
-keyout 指定私钥保存位置。
-out 新的证书请求文件位置。
-config 指定req的配置文件，指定后将忽略所有的其他配置文件。如果不指定则默认使用/etc/pki/tls/openssl.cnf中req段落的值。

二、证书如何使用

此时访问会出现如下问题