通配符证书

在计算机网络中,通配符证书是一个可以被多个子域使用的公钥证书。原则上通配符证书是为了服务使用超文本传输安全协议(SSL)的网站,但也有用于其他领域的例子。与一般的证书相比,通配符证书提供了更高的性价比以及更多的便利。[1]

一个使用通配符证书的例子:https://plus.google.com 页面存档备份,存于(注意“颁发给”地址中的*
一个以EV证书实现类似通配符证书的例子:https://www.ssl.com 页面存档备份,存于 (注意可选DNS名称列表)

例子

颁发给 *.example.com, 的证书可以用于下列域名[2]

  • payment.example.com
  • contact.example.com
  • login-secure.example.com
  • www.example.com

由于通配符证书只能覆盖一级子域(*不匹配所有子域),该证书无法有效服务于下面的域名:

  • test.login.example.com

当裸域名被列入可选DNS名称,该证书也可被用于裸域名(又称根域) [3]

  • example.com

大多数数字证书认证机构都会在签发通配符证书时自动包括裸域。

关于通配符SSL证书的简要信息

限制

仅支持匹配一级子域名[4]

通配符证书不可能为扩展验证证书[5]一种替代方法是在可用DNS名称(SAN)中包含每个域名[6][7][8], 这种方法的弊端是当有新的网站需要使用证书时就需要重新颁发一个证书。[9]

通配符可以被用在多个域名的证书或者统一通信证书(UCC)中。[10]通配符证书也有可选DNS名称字段。例如 *.wikipedia.org 这个通配符证书包括了 *.m.wikimedia.org 这个可选DNS名称。因此,它即可服务于 www.wikipedia.org,也可服务于 meta.m.wikimedia.org。[11]

另见

参考资料
  1. Hendric, William. . SSL Certificate Provider. 17 January 2008 [17 February 2015]. (原始内容存档于2022-03-16).
  2. Hendric, William. . Comodo SSL. SSL Certificate Provider. 17 June 2008 [17 February 2015]. (原始内容存档于2015-06-23).
  3. . Internet Engineering Task Force: 3. June 1999 [2014-12-15]. (原始内容存档于2017-07-07). For example, *.example.com would match a.example.com, foo.example.com, etc. but would not match example.com.
  4. . [2016-03-09]. (原始内容存档于2016-04-09).
  5. (PDF). CA/Browser Forum: 10. 2014-10-16 [2014-12-15]. (原始内容 (PDF)存档于2021-03-08). Wildcard certificates are not allowed for EV Certificates.
  6. x509v3_config-Subject Alternative Name 存檔,存档日期2015-08-15.
  7. The subjectAltName field
  8. . [2016-03-09]. (原始内容存档于2013-05-24).
  9. Need to be reissued whenever a new virtual server is added
  10. . [2016-03-09]. (原始内容存档于2015-06-03).
  11. . [2016-03-09]. (原始内容存档于2016-06-13).
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.