Creare la chiave privata per la CA
openssl genrsa -des3 -out CAPrivate.key 2048

Creare il root certificate per la CA
openssl req -x509 -new -nodes -key CAPrivate.key -sha256 -days 365 -out CAPrivate.pem

Creare una chiave privata
openssl genrsa -out MyPrivate.key 2048

Generare la richiesta CSR
openssl req -new -key MyPrivate.key -extensions v3_ca -out MyRequest.csr

Creare un file di configurazione per specificare il campo subjectAltName
Creare un file di configurazioni chiamato openssl.ss.cnf con il seguente contenuto:

basicConstraints=CA:FALSE
subjectAltName=DNS:*.mydomain.tld
extendedKeyUsage=serverAuth

E’ possibile specificare più subjectAltName:

subjectAltName=DNS.1:*.mydomain1.tld,DNS.2:*.mydomain2.tld
Generare il certificato usando il CSR (days indica la validità in giorni)
openssl x509 -req -in MyRequest.csr -CA CAPrivate.pem -CAkey CAPrivate.key -CAcreateserial -extfile openssl.ss.cnf -out MyCert.crt -days 365 -sha256

Esportare il certificato nel formato IIS pfx

openssl pkcs12 -export -out MyCert.pfx -inkey MyPrivate.key -in MyCert.crt

Installare il certificato in IIS

Installare il certificato della CA root nell’archivio autorità di certificazione attendibile

Copiare il file CAPrivate.crt rinominandolo CAPrivate.pem e quindi importarlo nell’Archivio autorità di certificazione attendibile.

Link all’articolo originale: https://www.brainbytez.nl/tutorials/linux-tutorials/create-a-self-signed-wildcard-ssl-certificate-openssl/