SAN SSL证书介绍和更新步骤

首先，先解释一下SSL证书的类型和作用。最后，我会以一个实际的案例做验证。

SSL证书介绍部分摘抄自​​​https://netsecurity.51cto.com/article/612719.html​​​，感谢作者海洋之心的介绍；更新步骤部分由小沫博主独自完成。

目前SSL证书已经普及，app和微信等均要求使用，这让网站应用变得更加安全。本文介绍通配符型SSL和SAN SSL证书之间的区别，以便于大家理解和区分，找出哪种证书更适合自己的需求。

通配符SSL和SAN SSL都是传统SSL证书更经济高效的替代品。来详细看一下。

通配符型SSL证书会稍复杂一些，企业使用它来保护主域名和多个子域名的安全。

单一SSL通配符，需要逐一将www.xyz.com，login.xyz.com，mail.xyz.com或其它子域名添加到单一SSL证书中。而通配符型证书就不需要这样麻烦了，之所以称为通配符，它有个前缀“*”，当它添加到域名时，它可以是“mail”，“user”，"sso"等任何名字，其实子域名的数量是无限的，而且时隔一段时间也不需要再重新颁发SSL证书。

​通配型SSL的优势​

1、易于管理

通配符型SSL证书之所以让人期待，是因为它更易于管理，主域名和所有子域名都在同一个证书下注册。产生的费用也大大降低。

2、灵活的方法

通配型SSL证书可以允许用户添加任意数量的子域名，只要证书有效，随时添加，不需要再向相关机构重新颁发。通配型证书为新的子域名提供完整的保护，在购买证书时不用提供子域名的信息，这就是“*”的作用。

3、性价比高

你不必再为每个子域名购买单独的SSL证书，通配符可以让你不牺牲安全的前提下节省开支。

4、浏览器兼容

通配型SSL证书与电脑、智能手机上所有的浏览器兼容，例如Chrome、Firefox、Safari、Apache、Nginx等。

5、加密位数

通配型SSL证书提供256位加密。

通配符型SSL证书适合有较多的子域名，而且之后会变更扩展的人士，也就是说更适合成长型企业。

​SAN SSL证书​

SAN(主题备用名字)SSL证书是用于多域SSL的另外一个术语。SAN让网站的所有者可以在一个证书下保护多个域名和相关子域。

SAN SSL证书和通配符SSL的最大区别是，SAN SSL可以帮助你保护多个主域名，而通配符做不到，因此SAN SSL证书也被称为UCC——统一通信证书。

再回想之前的实例，假设存在不同的主域名和子域名，例如www.xyz.com，maiil.xyz.com，mail.xyz.net，crm.xyz.net等，而使用SAN SSL单个证书可以涵盖这些所有域名。

与通配符型SSL证书区别的是，SAN SSL证书要求网站所有者在颁发证书时定义好域名和子域名列表。如果要在以后添加新的主域或子域名，则需要更新或在每台服务器上重新部署证书。

​使用SAN SSL的主要优势，下面概括如下：​

1、更大的灵活性

假如你有三个或四个主域名，每个域名都有多个子域名，使用一个SAN SSL证书，就可以保护所有域名。

2、浏览器兼容性

SAN SSL证书几乎与所有可用的浏览器兼容。

3、加密

SAN SSL证书提供完整的256位加密。

4、专门为应用提供商设计

应用程序提供商可以利用SAN SSL做很多事情，因为提供商通过互联网向不同的客户提供产品服务，每个客户都有唯一的主域名，这样应用程序提供商可以用一个SAN SSL保护每个客户的域名。

​在什么场景下使用SAN SSL，什么时候用通配符证书?​

当需要保护多个域名的服务器时，SAN SSL证书当为首选。SAN SSL为各种主域名提供安全，包括其下列出的子域名。因此，SAN SSL证书是大型网站的理想选择。

对于只有一个主域名的企业来说，则通配符证书是最佳之选。

针对以上内容介绍，恰巧，我的某一个客户目前正面临SSL证书的更新，由于客户环境采用的是多域多站点模式，存在多后缀的情况，所以，考虑之后决定采用SAN SSL模式为客户更新SSL证书。废话不多说，直接上步骤：

1. 使用mmc控制台，添加“证书”管理单元，此过程省略，展开到如图位置：

2. 按照如图操作，使用高级模式创建CSR证书请求文件，如图：

3. 点击“Next”，如图：

4. 击“Next”，如图：

5. 选择SSL证书模板，此处参照即将过期的证书使用的证书模板，新的证书和老的证书采用相同的模板，如图：

6. 点击“Properties”，如图：

7. 按照如图操作，将需要保护的Web站点添加到DNS中，如图：

8. 输入Friendly name，如图：

9. 按照如图操作，点击“Ok”，如图：

10. 点击“Next”如图：

11. 按照如图选择，将CSR文件保存在一个位置，点击“Finish”，如图：

12. 确认生成的CSR文件，如图：

13. 将CSR文件提交给SSL管理部门，SSL管理部门将使用该CSR文件申请新的SSL证书，申请完成后，将证书上传到该服务器，如图：

14. 打开IIS管理器，完成证书导入，按照下图操作完成，如图：

15. 按照下图操作完成，如图：

16. 导入完成后如图：

17. 将新导入的SSL证书绑定，按照下图完成操作，如图：

18. 编辑https类型的站点，如图：

19. 按照下图操作完成证书绑定，如图：

20. 点击“Ok”完成证书绑定，如图：

21. 接下来是比较重要的一步，如果想让其它的web服务器也使用新申请的SSL证书，首要操作就是在原始申请证书的服务器上将私钥和证书全部导出为pfx文件，然后，将pfx文件拷贝到需要绑定证书的服务器上，进行绑定。

22. 通过mmc证书管理器，将新申请的SSL证书和私钥导出，选中新申请的证书，右键导出，如图：

23. 点击“Next”，如图：

24. 按照下图操作，点击“Next”，如图：

25. 保持默认，点击“Next”，如图：

26. 输入私钥安全密码，此密码可自定义，点击“Next”，如图：

27. 选择导出pfx文件的保存路径，点击“Next”，如图：

28. 点击“Finish”如图：

29. 确认导出的pfx文件，然后将其拷贝到另一台服务器上，如图：

30. 拷贝完成，如图：

31. 登陆IIS web控制台，在服务器证书界面，点击“Import”，如图：

32. 浏览到拷贝过来的pfx文件，并输入导出pfx文件时配置的密码，,点击“Ok”如图:

33. 导入完成后如图，确认和第一台服务器导入的证书参数一致，如图：

34. 绑定新导入的SSL证书，按照下图操作完成，如图：

35. 选中类型为https的站点，点击“Edit”，如图：

36. 按照下图操作，选中新的证书，如图：

37. 点击“Ok”，如图：

38. 至此，SAN SSL证书申请导入完成。

39. 使用IE浏览器访问该https站点，验证证书是否更新，最明显的标识就是证书过期时间，如图：

40. 通过用户终端，验证是否可以正常登陆Citrix虚拟桌面，如图：

41. 至此，SAN SSL证书的更新和验证工作全部完成。