当下有两种多用SSL证书,具体情况如下:
通配符(Wildcard)证书——通配符证书广泛用于保护一个独特的完全限定性域名下的多个子域名。这种证书的好处是,它不仅使管理证书变得简单,而且还能帮助你降低管理费用。它能够随时保护你当前和将来的子域名。
1. 通配符证书能够使你的证书管理变得十分简单,因为一个证书对保护当前和将来所有的子域名完全是足够的。这反过来也能减低你的管理费用,因为你不需要经常购买新的SSL证书。
2. 通配符证书与正常的SSL证书并没有什么差别,只不过前者支持在完全限定性域名上添加一个通配符字符“*”作为前缀,这就使得它能够保护多个服务。使用通配符证书并不会涉及任何特定服务,而是它们总是会将一个通配符字符作为前缀加入到域名中。
3. 选用证书时,建议首选通配符证书,因为相比一个单一用途的证书,它更加灵活,而且还能被应用到多个服务。此外,你也能够进行如添加或替换等的更改,而不用更新或购买一个新的证书。
以下这个例子能够帮助你理解通配符的工作方式——当你为一个域名exmpl.com购买了一个通配符证书时,那么这个证书对www.exmpl.com,xyz.exmpl.com和其他子域名也是有效的。同时,需注意,通配符证书只针对*.exmpl.com有效。
SAN证书——SAN证书(也称为多域名证书)用于利用一个单个的证书保护多个域名。它们与通配符证书不同的地方在于,支持一个域名下所有无限个子域名。SAN仅支持在证书中输入的完全限定性域名。SAN证书是令人印象深刻的,因为使用它们,你便能够利用一个单个的证书保护超过100个不同的完全限定性域名;然而,保护的数量取决于发行的证书机构。
1. 因为SAN证书在设计时支持实时通信,所以它们或主题备用名称证书也被称为统一通讯证书。
2. 对于那些期望使用多个根或域名来执行互联网面向服务的企业或组织来说,SAN或UCC证书是极其有用的。比如,一个企业如果使用了两个域名,一个abc.exmpl.net作为内部域名,一个abc.exmpl.com作为外部域名,那么他们便只需要一个SAN证书就可以为这两个完全限定性域名的统一通讯提供安全保护了。而如果企业采用一个通配符证书,那么它将需要两个通配符证书,因为.net和.com 是两个不同的域名。
3. 不同的客户只要使用了属于应用程序服务提供商(ASP)的独特的域名,ASP便可以为他们托管应用程序。对于这些ASP来说,他们能够通过使用SAN证书获得许多好处。因为如果ASP使用了SAN证书,那么他们就能够使用一个单个的证书来向多个客户提供安全服务。然而,有一点十分重要,需要引起注意:网站签章和证书只为在证书中输入的主要域名,而不是任何其他的域名提供安全保护。证书只包括在购买时进行了验证的域名。
多个域名证书的局限性:
尽管多个域名证书是十分有用的,性价比还很高,但是它们还是有一些局限性,具体如下:
1. SAN证书不与通配符证书兼容。如果你购买了一个SAN证书,那么在购买证书时,你的所有子域名就必须在证书中登记为一个独特的域名条目。因此,每当你决定添加或移动一个域名时,你就必须更新或在每台主机服务器上重新部署证书。
2. 当ASP为多个客户托管网站时,他们应当注意所有域名都包含在了SAN证书中。如果ASP决定它不想要一个网站与另一个网站看起来是链接着的,那么它就必须使用另外一种不同的证书。
哪种证书最适合你?
大体上说来,多用证书用于使用一个证书保护多个web服务。为了达到这一目的,证书或者会添加另一个名称到常见的单个证书中,或者会使用一个通配符来代替子域名,或者会在证书中给名称加上前缀。
如果企业使用了一个公有域名和一个私有域名来分离内部和外部名称空间,那么SAN证书是他们最好的办法。
而对于那些只使用了一个公有域名的企业来说,通配符SSL证书将是最好的选择。
