Просто следуйте одному из много шагу пошаговым инструкциям по созданию собственного сертификата с OpenSSL, но замените «Общее имя» www.example.com на *.example.com.
Обычно вам нужно иметь немного больше денег, чтобы получить сертификат для этого.
> openssl req -new -x509 -keyout cert.pem -out cert.pem -days 365 -nodes
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Germany
Locality Name (eg, city) []:nameOfYourCity
Organization Name (eg, company) [Internet Widgits Pty Ltd]:nameOfYourCompany
Organizational Unit Name (eg, section) []:nameOfYourDivision
Common Name (eg, YOUR name) []:*.example.com
Email Address []:webmaster@example.com
(Извините, мое любимое практическое руководство - это текст на немецком языке, которого у меня нет в наличии и который я не могу найти в настоящее время, поэтому ссылки «много»)
Редактировать в 2017 году. Первоначальный ответ на этот вопрос был с 2009 года, когда выбор сертификатов не включал полностью автоматизированные и бесплатные опции, такие как Let's Encrypt . В настоящее время (если «сертифицированный доменом» уровень сертификации Let's Encrypt достаточен для вашей цели ) тривиально получить отдельные сертификаты для каждого субдомена. В случае, если вам нужен более высокий уровень доверия, чем при проверке домена, сертификаты с подстановочными знаками по-прежнему возможны.
Также с 2017 года обратите внимание на комментарий ниже, @ ha9u63ar:
Согласно RFC 2818 сек. 3 использование CN для идентификации имени хоста больше не рекомендуется (устарело) Альтернативное имя субъекта (SAN), похоже, является подходящим вариантом.
Мой ответ на этот комментарий: Я верю, что в настоящее время любой ЦС, выдающий сертификаты Wildcard, будет иметь надлежащий набор инструкций. За самозаверяющее быстрое исправление я бы не беспокоился. С другой стороны, с LetsEncrypt в эти дни, я давно не создавал самозаверяющий сертификат. Ну и дела, этот ответ действительно показывает его возраст.