SSL 证书通过为每个地址分配一个附加到服务器唯一域名的公钥/私钥对来自动识别和验证公共 IP 地址。 在证书中嵌入域名对于识别 Web 服务器以及检查服务器的数字签名以确认证书的有效性至关重要。

但是,您不必为每个域都购买新证书。

了解您的 SSL 证书选项很重要,否则,您可能会浪费宝贵的资源为每个域购买单个证书。 对于托管许多面向公众的服务器的组织,购买多用途 SSL 证书可能是最佳选择。

什么是多用途 SSL 证书?

多域 SSL 是一种特殊用途的 SSL 证书,它可以仅使用一个 SSL 证书和一个 IP 地址来保护多个主域、子域或公共 IP 地址。 多用途 SSL 最初是为统一通信应用程序提出的解决方案。 如今,它可以让任何计划将多个主域或子域合并到一个 SSL 证书中的人受益。

两种主要类型是:

也可以结合使用这两种类型,涵盖无限的子域和主域,所有这些都在一个 SSL 证书中。 当您将这些选项与不同级别的 SSL 证书验证结合使用时,您有很多选择。

让我们仔细看看这两种类型的多用途 SSL 证书,以确定哪种可能最适合您的需求。

通配符证书(通配符 SSL)

什么是通配符 SSL?

通配符证书是适用于单个主域及其所有子域的多域 SSL 证书。

为什么要使用通配符 SSL?

组织经常在需要使用子域名时发现自己——使用相同根名称但需要唯一前缀名称的名称。 与使用多个常规 SSL 证书相比,使用通配符证书是一种更加实用和通用的解决方案。

通配符 SSL 如何工作?

通常,SSL 证书是单域证书。 通配符证书的工作方式类似,但具有几个显着优势。

虽然通配符证书仍然只有一个列出的主域(例如 ​​domain.com​​),但是通配符字符——星号 (*)——允许它保护一个无限数量的子域(例如 ​​login.domain.com​​ , ​​mail.domain.com​​, ​​search.domain.com​​)。

此外,您可以添加、更改或替换子域,而无需更新证书。 因此,对于使用多个子域的任何人,通配符 SSL 证书是最合理和强烈推荐的。

通配符 SSL 摘要

在适当的情况下,通配符证书可以简化管理职责并降低成本。 然而,虽然这些证书似乎更易于管理,但泄露的风险可能更大。 在无限的服务器和子域上部署通配符证书很有吸引力,但如果通配符证书受到威胁,那么所有位置都会受到威胁。

就像普通的 SSL 证书一样,您会想通过证书管理解决方案了解使用(或误用)了哪些通配符证书。

主题备用名称 (SAN) 证书

与通配符证书最相似的证书称为主题备用名称 (SAN) 证书。 让我们仔细看看它们的比较。

什么是 SAN 证书?

主题备用名称证书 (SAN SSL),也称为统一通信证书 (UCC),最初设计用于支持实时通信基础设施。

SAN SSL 如何工作?

Subject Alternative Name (SAN) 是 SSL 协议的扩展; 它允许使用替代名称将各种值与 SSL 证书相关联,例如:

  • 电子邮件地址
  • IP地址
  • DNS 名称或通用名称 RDN
  • 目录名称或专有名称
  • 通用名称或通用主体名称

为什么使用 SAN 证书?

任何需要保护多个域名或 IP 地址的人都应该考虑使用 SAN 证书。 与为每个域购买单独的 SSL 证书相比,这些证书提供了一种更省时、更经济的解决方案。 当您需要保护具有不同域名的多个网站时,SAN 证书是理想的选择。

验证单个服务器上的多个域通常需要每个域的唯一 IP 地址。

但是,SAN 证书可以节省您在服务器上配置多个 IP 地址、将每个 IP 地址绑定到不同证书或使用单个 IP 控制多个服务(例如 OWA、SMTP、Autodiscovery、ActiveSync)所涉及的麻烦和时间 )

所有证书颁发机构都提供多域 SSL 证书,其覆盖范围取决于从特定提供商处选择的多域 SSL 计划。

通配符 + SAN SSL 证书

顾名思义,SAN 也可以作为扩展与通配符结合使用,为证书添加功能。 与为您拥有的每个域管理单独的 SSL 证书相比,这种组合使 SSL 证书管理更加直接和便宜。

一个值得注意的用例场景是在需要内部和外部验证并为每个使用不同子域名的组织中。

例如,将 ​​InternalSip.domain.com​​ 和 ​​ExternalSIP.domain.com​​ 用于需要通过加密保护消息的即时消息传递应用程序。 在这里,您必须对每个内部和外部服务进行认证,以允许用户远程安全地使用该应用程序。

通配符证书对共享同一服务器的完全限定域名上的所有子域进行加密。 但是,当结合 SAN SSL 的功能时,该证书可能支持多个服务器和无限的子域。