知识点-域名证书
参考文献
域名证书分类
- 按照验证方式进行分类,即:
DV SSL证书、OV SSL证书、EV SSL证书. - 按照域名数量进行分类,即:
单域名SSL证书、多域名SSL证书、通配符证书
按照验证方式进行分类的HTTPS证书
DV SSL证书、OV SSL证书、EV SSL证书的定义
DV SSL证书(域名验证型): 只需验证域名所有权,无需人工验证申请单位真实身份,几分钟就可颁发的SSL证书.价格一般在百元至千元左右,适用于个人或者小型网站.OV SSL证书(企业验证型): 需要验证域名所有权以及企业身份信息,证明申请单位是一个合法存在的真实实体,一般在1~5个工作日颁发.价格一般在百元至千元左右,适用于企业型用户申请.EV SSL证书(扩展验证型): 除了需要验证域名所有权以及企业身份信息之外,还需要提交一下扩展型验证,比如: 邓白氏等,通常CA机构还会进行电话回访,一般在2~7个工作日颁发证书.价格一般在千元至万元左右,适用于在线交易网站、企业型网站.
DV SSL证书、OV SSL证书、EV SSL证书的区别
- DV与OV证书的主要区别就是: DV型证书不包含企业名称信息;而OV型证书包含企业名称信息,而且
OV比DV价格贵,安全等级高. - OV和EV证书的主要区别就是: 浏览器对EV证书更加“信任”,当浏览器访问到EV证书时,可以在地址栏显示出公司名称,并将地址栏变成绿色.
按照域名数量进行分类的HTTPS证书
单域名SSL证书、多域名SSL证书、通配符证书的定义
- 单域名SSL证书: 顾名思义,这类证书只保护一个域名,这些域名形如
www.holelin.cn,pay.domain.net,shop.store.cn等;如果您为www前缀的域名申请证书时,默认是可以保护不带www的主域名,但是当您为其他前缀的子域名申请证书时,则只能保护当前子域名,不能保护不带前缀的主域名。 - 多域名SSL证书: 可以同时保护多个域名,不限制域名类型;例如:
holelin.cn及它的子域、holelin.com及它的子域、abc.com及它的子域等,最多可保护2~150个域名. - 通配符证书: 只能保护一个域名以及该域名的所有下一级域名,不限制域名数量;例如:
holelin.cn及它的所有子域,没有数量限制.
- 上图来自于https://www.wosign.com/column/ssl_20211231.htm
各类场景下SSL证书的应用
| 域名类型 | 单域名 | 通配域名 | 多域名 | 混合域名 |
|---|---|---|---|---|
| 绑定规则 | 一张证书仅支持两个相关域名(www.和没有www.) |
支持*.domain.com(不限次级子域名数量) |
一张证书支持多个不同的域名,最少3个域名,最多100个域名 | 支持各种不同混合域名绑定在一张证书中,还支持通配型*.domain.com |
| 适用范围 | 只有1个域名需要部署SSL证书,暂时没有其他站点需要同时部署 | 同一主域名下有多个次级子域名都需要部署同一张SSL证书,未来可能需要扩展新增子域名 | 拥有多个顶级域名完全不同的域名,都需要部署同一张SSL证书 | 同一主域名下有多个次级子域名,以及多个顶级域名完全不同的域名,都需要部署同一张SSL证书 |
| 典型场景 | 个人网站、企业官网、电商主站等任意网站、web应用、移动App等,都可以使用单域名证书。 | 通常企业拥有1个品牌顶级域名,在顶级域名下设置官网、电子邮件系统、OA系统、网关、论坛等多个次级子域名,未来可能其他业务系统还需增加子域名。 | 项目中拥有多个不同域名,分别用于不同信息系统应用,需要统一部署证书、统一管理。 | 项目中拥有多个不同通配符域名及顶级域名完全不同的域名,需要统一部署证书、统一管理。 |
| 如:科技行业通常涉及官网、产品网站、APP服务器、小程序服务器等相关站点,对安全性能和应用部署的灵活性要求比较高。需采用具备可扩展性的通配型证书。 | 如:智慧城市应用涉及海量节点的安全管理,需同时对接多类信息系统,域名数量多且域名类型各不相同,多域名证书满足多个不同域名站点统一配置管理SSL证书的需求。 | 如:电子政务网站集约化管理的背景下,混合型证书,可以绑定政务应用中大部分通配型域名及少数不同顶级域名的多域名,通过一张证书混合绑定规则,以更低的建设成本,满足各类政务应用的证书部署需求。 | ||
| 域名示例 | 任何单个域名,如:domain.com | 申请通配型证书,绑定*.domain.com,可同时保护: www.domain.com (官网) mail.domain.com(邮件系统) oa.domain.com(OA系统) vpn.domain.com(vpn网关) bbs.domain.com(论坛) app.domain.com(app服务器) wx.domain.com(小程序服务器) …… | 申请多域名证书,可随意绑定多个顶级域名完全不同的域名: www.domain.com abc.com aa.123.cn …… | 申请混合型证书,可绑定通配符域名及多个顶级域名完全不同的域名: *.beijing.gov.cn abc.com aa.123.cn …… |
| 优势对比 | 金融银行等重要领域的重要业务系统,选择EV或OV级别的单域名证书,采取“一个域名一张证书”的配置方案,可避免因其中一个业务系统证书替换或维护,影响到多个重要系统的应用。 | 一张证书绑定一个通配符域名,证书有效期内,增加次级子域名无需重新申请或颁发证书,可直接使用该证书部署配置。 | 一张证书绑定多个域名,可方便地针对多个顶级域名不同的域名站点,进行统一配置管理,降低运维工作量,提升运维管理效率。 | 一张证书混合绑定多个通配符域名及多域名,可方便地进行统一配置管理,降低运维工作量,提升运维管理效率,同时降低证书采购成本。 |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 HoleLin's Blog!
