如何使用通配符证书保护多级子域?

最后更新于 Dionisie Gitlan

SSL 证书可确保任何规模和复杂程度的网站的安全。 自从 HTTPS 成为一项要求以来,越来越多的用户学会了如何在不同平台上安装和管理 SSL 证书。 然而,当多级子域出现时,技术水平较低的人就会面临严峻的挑战。

与使用单一 SSL 证书的普通网站不同,您可以使用不同类型的证书对多级子域进行加密。 数百万美元的问题是,需要多少 SSL 证书才能确保多级子域的安全? 多级子域的通配符证书够用吗? 本文将告诉你答案,并深入探讨子域安全问题。

目录

  1. 通配符 SSL 证书 – 快速概览
  2. 二级子域的通配符证书
  3. 使用多域通配符 SSL 证书加密多级子域

通配符 SSL 证书 – 快速概览

我们已经在博客和常见问题部分广泛介绍了通配符 SSL。 但在本篇文章中,让我们来回顾一下它的功能和局限性。

普通 SSL 证书保护单个域名或完全合格域名 (FQDN)。 两者必须匹配,证书才有效。 使用通配符选项,您可以在单个 SSL 安装下确保无限一级子域和主域的安全。

订购 SSL 证书时,第一步是生成 CSR(证书签名请求)。 对于通配符证书,需要在要保护的域名前添加星号 (*) 符号。 例如,*.yourdomain.com。 您可以在加密单个域的同时加密所需的任何子域,而无需额外的证书。

单个通配符证书可对同一级别的无限子域进行加密。例如,*.yourdomain.com 的通配符证书将加密:

  • blog.yourdomain.com
  • news.yourdomain.com
  • mail.yourdomain.com

但是,如果您需要保护两级或多级子域,该怎么办呢? 您需要多个通配符 SSL 证书吗?

二级子域的通配符证书

在域名系统(DNS)层次结构中,二级子域是直接位于一级子域之下的子域。 似乎令人困惑? 下面是 URL 中的显示方式:

secondlevel.firstlevel.yourdomain.com

要创建 CSR 为二级子域提供通配符证书,您需要知道您希望进一步划分的子域。 例如,如果您使用带有 FQDN*.yourdomain.com 的一级通配符该通配符将成为blog. yourdomain .com、news.yourdomain.com 和mail.yourdomain.com 的占位符。 这些一级通配符的列表可以包括你选择的任何内容,你不需要多个证书来保护它们。

现在,要在blog.yourdomain.com 内创建一个分区,您需要生成一个 CSR,格式为*.blog.yourdomain.com,以代替 FQDM。 在这里,星号替代了 “blog “子域的所有潜在二级子域。

但是,如果您想在其他子域(如news.yourdomain.com )中添加二级子域,会发生什么情况呢您需要另一个通配符证书。

遗憾的是,无法使用单个通配符 SSL 证书对blog.yourdomain.comnews.yourdomain.com两个子域进行加密。证书颁发机构只颁发单个 (*) 的 SSL 证书。 您根本无法为多个子域生成看起来像*.*.yourdomain.com的 CSR,以试图覆盖多个二级子域组。 星号只适用于提交给 CA 的名称中的一个字段。

归根结底,这一切都与安全有关,因为 CA 必须验证每一个 SSL 应用程序。 证书中的变量过多,如多级子域,会使 CA 的资源紧张。 不过,多级子域有一个很好的解决方案–多域通配符 SSL 证书

使用多域通配符 SSL 证书加密多级子域

当你需要保护多个网站和/或多级子域的安全时,多域通配符 SSL 证书是最方便、最经济的解决方案。 它可确保多个域的安全,并允许使用一个证书对多级子域进行加密。 与通配符证书一样,由于具有无限服务器许可证,因此无论网站是在同一服务器、独立服务器还是多个服务器上,它都能发挥作用。

假设您必须确保以下 8 个子域的安全:

  • yourdomain.com
  • blog.yourdomain.com
  • news.yourdomain.com
  • dev.yourdomain.com
  • dev.blog.yourdomain.com
  • dev.news.yourdomain.com
  • abc.news,yourdomain.com
  • xyz.news.yourdomain.com

如果使用标准的单域名 SSL 证书,则需要 8 个独立的 SSL 证书。 这既费事又费钱,所以单一证书并不适合这项任务。

使用通配符 SSL 证书,可以将所需证书的数量减少到 4 个:

  • *.yourdomain.com
  • *.blog.yourdomain.com
  • *.news.yourdomain.com
  • *.dev.yourdomain.com

这虽然节省了不少费用,但由于安装和更新需要花费时间,因此仍然是一个昂贵的选择。

多域 SSL 通配符证书默认包含 3 个 SAN(主题备选名称),如需额外付费,最多可包含 250 个 SAN。 在我们的案例中,您只需购买一个多域通配符证书,并添加一个 SAN 即可。 这样,您的所有四个网站都将在一个多级通配符证书下加密。

结论

不能使用单独的通配符 SSL 证书加密二级子域。 如果你有多级子域,多域通配符 SSL 证书是你的最佳选择! 与为二级子域购买多个通配符 SSL 证书相比,只需在首次安装和续期时购买一个多域通配符证书,就能节省宝贵的时间和金钱。 随着互联网的发展和保护多个域和子域的需求的增长,多级通配符选项越来越受欢迎。

立即订购 SSL 证书, 可节省 10% 的费用!

快速发行, 强大加密, 99.99% 的浏览器信任度, 专业支持和 25 天退款保证. 优惠券代码 SAVE10

立即节省 10%!
撰写人

经验丰富的内容撰稿人, 擅长 SSL 证书. 将复杂的网络安全主题转化为清晰, 引人入胜的内容. 通过有影响力的叙述, 为提高数字安全作出贡献.

相关帖子
基于文件的通配符验证将于 11 月停止使用
多域证书与通配符 SSL。 区别是什么?
PositiveSSL 通配符证书与 EssentialSSL 通配符证书有何不同?
What Is an SSL Certificate for Subdomains
什么是子域 SSL 证书?
What is a Wildcard Certificate
什么是通配符证书及其工作原理?