通配符证书
外观
在计算机网络中,通配符证书是一个可以被多个子域使用的公钥证书。原则上通配符证书是为了服务使用超文本传输安全协议(SSL)的网站,但也有用于其他领域的例子。与一般的证书相比,通配符证书提供了更高的性价比以及更多的便利。[1]
例子
[编辑]颁发给 *.example.com, 的证书可以用于下列域名[2]
- payment.example.com
- contact.example.com
- login-secure.example.com
- www.example.com
由于通配符证书只能覆盖一级子域(*不匹配所有子域),该证书无法有效服务于下面的域名:
- test.login.example.com
当裸域名被列入可选DNS名称,该证书也可被用于裸域名(又称根域) [3]
- example.com
大多数数字证书认证机构都会在签发通配符证书时自动包括裸域。
限制
[编辑]通配符证书不可能为扩展验证证书。[5]一种替代方法是在可用DNS名称(SAN)中包含每个域名[6][7][8], 这种方法的弊端是当有新的网站需要使用证书时就需要重新颁发一个证书。[9]
通配符可以被用在多个域名的证书或者统一通信证书(UCC)中。[10]通配符证书也有可选DNS名称字段。例如 *.wikipedia.org 这个通配符证书包括了 *.m.wikimedia.org 这个可选DNS名称。因此,它即可服务于 www.wikipedia.org,也可服务于 meta.m.wikimedia.org。[11]
另见
[编辑]参考资料
[编辑]- ^ Hendric, William. Wildcard SSL Certificate Explained. SSL Certificate Provider. 17 January 2008 [17 February 2015]. (原始内容存档于2022-03-16).
- ^ Hendric, William. Wildcard SSL Certificate Features. Comodo SSL. SSL Certificate Provider. 17 June 2008 [17 February 2015]. (原始内容存档于2015-06-23).
- ^ RFC 2595 - Using TLS with IMAP, POP3 and ACAP. Internet Engineering Task Force: 3. June 1999 [2014-12-15]. (原始内容存档于2017-07-07).
For example, *.example.com would match a.example.com, foo.example.com, etc. but would not match example.com.
- ^ Wildcard SSL certificate limitation on QuovadisGlobal.com. [2016-03-09]. (原始内容存档于2016-04-09).
- ^ Guidelines For The Issuance And Management Of Extended Validation Certificates, Version 1.5.2 (PDF). CA/Browser Forum: 10. 2014-10-16 [2014-12-15]. (原始内容 (PDF)存档于2021-03-08).
Wildcard certificates are not allowed for EV Certificates.
- ^ x509v3_config-Subject Alternative Name 互联网档案馆的存檔,存档日期2015-08-15.
- ^ The subjectAltName field
- ^ The SAN option is available for EV SSL Certificates on Symantec.com. [2016-03-09]. (原始内容存档于2013-05-24).
- ^ Need to be reissued whenever a new virtual server is added
- ^ Wildcard domains can be used within UCC on SSL.com. [2016-03-09]. (原始内容存档于2015-06-03).
- ^ SSLTools Certificate Lookup of Wikipedia.org's wildcard ssl certificate. [2016-03-09]. (原始内容存档于2016-06-13).
|