在電腦網絡中,万用字元證書是一個可以被多個子域使用的公鑰證書。原則上万用字元證書是為了服務使用超文字傳輸安全協定(SSL)的網站,但也有用於其他領域的例子。與一般的證書相比,万用字元證書提供了更高的性價比以及更多的便利。[1]
例子
頒發給 *.example.com, 的證書可以用於下列域名[2]
- payment.example.com
- contact.example.com
- login-secure.example.com
- www.example.com
由於万用字元證書只能覆蓋一級子域(*不匹配所有子域),該證書無法有效服務於下面的域名:
- test.login.example.com
當裸域名被列入可選DNS名稱,該證書也可被用於裸域名(又稱根域)[3]:
- example.com
大多數數碼證書認證機構都會在簽發万用字元證書時自動包括裸域。
限制
万用字元證書不可能為擴充驗證證書。[5]一種替代方法是在可用DNS名稱(SAN)中包含每個域名[6][7],這種方法的弊端是當有新的網站需要使用證書時就需要重新頒發一個證書。[8]
万用字元可以被用在多個域名的證書或者統一通信證書(UCC)中。[9]万用字元證書也有可選DNS名稱欄位。例如 *.example.com 這個万用字元證書包括了 *.m.example.com 這個可選DNS名稱。因此,它既可服務於 www.example.com,也可服務於 abc.m.example.com。
另見
參考資料
- ↑ Hendric, William. Wildcard SSL Certificate Explained. SSL Certificate Provider. 2008-01-17 [2015-02-17].
- ↑ Hendric, William. Wildcard SSL Certificate Features. Comodo SSL. SSL Certificate Provider. 2008-06-17 [2015-02-17].
- ↑ RFC 2595 - Using TLS with IMAP, POP3 and ACAP. Internet Engineering Task Force: 3. 1999-06 [2014-12-15].
For example, *.example.com would match a.example.com, foo.example.com, etc. but would not match example.com.
- ↑ Wildcard SSL certificate limitation on QuovadisGlobal.com
- ↑
Guidelines For The Issuance And Management Of Extended Validation Certificates, Version 1.5.2 (PDF). CA/Browser Forum: 10. 2014-10-16 [2014-12-15].
Wildcard certificates are not allowed for EV Certificates.
- ↑ x509v3_config-Subject Alternative Name
- ↑ The SAN option is available for EV SSL Certificates on Symantec.com. [2016-03-09].
- ↑ Need to be reissued whenever a new virtual server is added
- ↑ Wildcard domains can be used within UCC on SSL.com