在计算机网络中,通配符证书是一个可以被多个子域使用的公钥证书。原则上通配符证书是为了服务使用超文本传输安全协议(SSL)的网站,但也有用于其他领域的例子。与一般的证书相比,通配符证书提供了更高的性价比以及更多的便利。[1]
例子
颁发给 *.example.com, 的证书可以用于下列域名[2]
- payment.example.com
- contact.example.com
- login-secure.example.com
- www.example.com
由于通配符证书只能覆盖一级子域(*不匹配所有子域),该证书无法有效服务于下面的域名:
- test.login.example.com
当裸域名被列入可选DNS名称,该证书也可被用于裸域名(又称根域)[3]:
- example.com
大多数数字证书认证机构都会在签发通配符证书时自动包括裸域。
限制
通配符证书不可能为扩展验证证书。[5]一种替代方法是在可用DNS名称(SAN)中包含每个域名[6][7],这种方法的弊端是当有新的网站需要使用证书时就需要重新颁发一个证书。[8]
通配符可以被用在多个域名的证书或者统一通信证书(UCC)中。[9]通配符证书也有可选DNS名称字段。例如 *.example.com 这个通配符证书包括了 *.m.example.com 这个可选DNS名称。因此,它既可服务于 www.example.com,也可服务于 abc.m.example.com。
另见
参考资料
- ↑ Hendric, William. Wildcard SSL Certificate Explained. SSL Certificate Provider. 2008-01-17 [2015-02-17].
- ↑ Hendric, William. Wildcard SSL Certificate Features. Comodo SSL. SSL Certificate Provider. 2008-06-17 [2015-02-17].
- ↑ RFC 2595 - Using TLS with IMAP, POP3 and ACAP. Internet Engineering Task Force: 3. 1999-06 [2014-12-15].
For example, *.example.com would match a.example.com, foo.example.com, etc. but would not match example.com.
- ↑ Wildcard SSL certificate limitation on QuovadisGlobal.com
- ↑
Guidelines For The Issuance And Management Of Extended Validation Certificates, Version 1.5.2 (PDF). CA/Browser Forum: 10. 2014-10-16 [2014-12-15].
Wildcard certificates are not allowed for EV Certificates.
- ↑ x509v3_config-Subject Alternative Name
- ↑ The SAN option is available for EV SSL Certificates on Symantec.com. [2016-03-09].
- ↑ Need to be reissued whenever a new virtual server is added
- ↑ Wildcard domains can be used within UCC on SSL.com