自签名通配符证书

我已经在家里设置了pihole，所以我希望能够使用自己的服务器处理对任何网站的请求，以显示“该网站已被阻止”页面。

我试图通过为任何url创建一个自签名证书并将其安装在我的设备上来做到这一点。我用来生成证书的命令：

openssl genrsa 2048 > pihole.key
openssl req -new -x509 -nodes -days 36500\
    -key pihole.key \
    -subj "/C=NL/ST=Utrecht, Inc./CN=*" \
    -reqexts SAN \
    -config <(cat /etc/ssl/openssl.cnf \
        <(printf "\n[SAN]\nsubjectAltName=DNS:*,DNS:*")) \
    -out pihole.cert
openssl x509 -noout -fingerprint -text < pihole.cert > pihole.info
cat pihole.cert pihole.info > pihole.pem
service apache2 reload

我已经在Windows设备上安装了该证书，并且Windows证明它是有效的证书。

但是，chrome给我一个NET::ERR_CERT_COMMON_NAME_INVALID，边缘给我一个类似的错误（DLG_FLAGS_SEC_CERT_CN_INVALID）

为什么是这样？难道CN = *只是不允许？我怎样才能实现自己想要的？

不允许。作为标准TLS主机名验证的特定于协议的补充，所有主要的Web浏览器（HTTPS客户端）基本上都同意将通配符证书限制为“ eTLD + 1”，也就是说，必须有一个“有效TLD”以及一个以上的非TLD。 -通配符组件。

通常，这意味着至少需要两个组件（*.example.net可以，但*.net不能，也不是裸机*）。由于co.uk人们在实践中将其用作不可分割的“ TLD”，因此“有效TLD”规则将其扩展为多级后缀。（因此*.example.ac.uk允许，但*.ac.uk不允许。）

您可以检查如何在Chromium和Mozilla中实现公共后缀列表。

请参阅Security.SE中的相关讨论，该讨论引用了CA-Browser论坛基准要求（仅适用于公共WebPKI CA，但仍然反映了一般的实现）：

如果“证书控制的”标签或“公共后缀”左侧的第一个标签位置出现通配符，则CA将撤销所有证书。

为了避免这种限制，请建立一个证书颁发机构，该证书颁发机构 “按需”为您尝试访问的任何网站颁发证书。我不知道如何在任何常规的Web服务器中实现该功能，但这是商业TLS拦截系统使用的一种常见方法。防病毒程序和其他恶意软件；和开发工具，例如Burp Proxy套件。

例如，OpenResty Web服务器（基本上是Nginx-with-Lua）具有ssl_certificate_by_lua实现动态证书生成的选项。Squid代理的ssl-bump功能支持证书模仿。

另请注意，如果同时存在SAN，则SAN会完全覆盖 Subject-CN。这使得包括CN在内大部分都是多余的（除非您的客户端软件如此之旧，它缺乏SAN支持），而对于公共CA，Web浏览器甚至不再接受它。

证书中只能有一个通配符（即no *.*.example.com），它只能与单个标签（即only www，not www.example.com）匹配，只能位于最左边的位置（即*.www.example.comnot www.*.example.com），并且不能在公共后缀内（即否*.com）。