我对 SSL 证书及其设置还不熟悉。我还没有找到有关此问题的任何详细信息,所以我问了一个可能很简单的问题。
我要订购 SSL 证书,因此我想知道具有指定通用名称的 SSL 证书是否example.com
也适用于example.com/app1/payment
。
答案1
是的。域名需要与证书中指定的 CN 匹配。SSL 证书与 URL 的其余部分无关。
答案2
EEAA 的答案是正确的,所以我不会重复,但关于 SSL/TLS 主题还有很多需要补充。
证书不一定example.com
匹配,www.example.com
因为这些是不同的领域。大多数提供商会自动将www
子域名作为主题备用名称在生成证书时(即使是完全免费的 CA,例如 StartCom 也会这样做),但你应该确保他们确实这样做在您要求他们生成证书之前。
您可以购买 SAN 证书(也称为 UCC 或统一通信证书),这样您就可以在同一个证书中拥有多个子域,因此您可以购买一个证书来匹配、和example.com
。www.example.com
您甚至可以在 SAN 证书中包含其他域,因此同一张证书可以覆盖、和(以及所有这些域的子域,尽管拥有更多域通常会花费更多)。shop.example.com
login.example.com
example.net
example.info
example.co.uk
或者,你可以购买通配符涵盖的 SSL 证书每一个单个域名的子域名。
无论您获取的是单域证书、SAN 证书还是通配符证书,您都可以进行三种类型的验证:
- 域名已验证证书是最快捷、最便宜的类型。CA 将验证您是否控制要为其申请证书的域名,通常是通过向该
[email protected]
域名的一个标准电子邮件地址(例如)发送电子邮件并验证您是否收到了该电子邮件。如果您的网站是您的主要授权点,则这些证书是可行的。Google 使用域名验证证书。 - 经组织验证证书的处理时间更长,费用也更高,因为他们需要验证相关域名是否与证书上所列组织所拥有的实际地址相匹配。这通常可以通过自动电话完成,而且速度相当快。
- 扩展验证(或者电动汽车) 证书更进一步,旨在建立合法身份和适当的权限来获取 SSL 证书。这些证书会将您的浏览器 URL 栏变为绿色。不用说,它们的价格要高得多。EV 证书中不提供通配符。
所有这些证书使用的加密都是相同的。提供的安全级别取决于您选择的密钥大小(您应该选择 2048)、您的 Web 服务器支持的 SSL 协议的密码和版本(这可以在您的配置中更改)。这里的主要技巧是不支持较旧、较弱的密码和版本。
到了购物的时间,SSL购物者是做这件事的地方。