安全 SSL 证书,二级域名,三级域名都想用,需要购买哪种证书?

happyming9527 · 2016年12月05日 · 最后由 kgen 回复于 2016年12月08日 · 21707 次阅读

做了个网站,买了个 rapidSsl 的 wildcard 的证书。但是发现二级域名可以通用同一个证书,但是三级域名不能通用。但是我的需求是二级域名和三级域名都需要 ssl 证书。各位大神,我需要购买什么类型的证书,是 multi-domain 的证书么?但是看到说域名个数只能有四五个,我是多台服务器。证书可能存放到不同服务器。而且对 multi-domain 的证书的生成过程不太了解。是否需要提前确定需要设置哪些域名,才能生成 multi-domain 的证书?如果我中间,又想加入别的域名,是不是这个证书就不能用了?

用 Wildcard 证书,多家发行商都看看,有些可以买 *.example.com 就满足你的要求了。

即使找不到合适价格签发 *.example.com,你也可以用 multi-domain 的方式,每增加一个 domain 就 reissue 一次原来的证书,把新的 domain 加进去即可,原来证书的剩余时间不会丢失。服务商都支持无限次 reissue 的。

@kgen wildcard 证书只能通用二级域名,我是想二级三级一起通用。reissue 生成的证书会改变么?需要替换掉服务器上放置的证书么?

#2 楼 @happyming9527 reissue 后,会改变,需要重新 upload 到服务器

我记得 cloudflare 里一个证书可有好几十个上百个域名。一张证书多个域名 letsencrypt 就能签发,还挺好用的。

@kgen 如果热 reissue 需要重新上传。那旧的证书还能用么?这中间是否会出现时间差,就是一段时间内这个部署好的证书不能用了?将新的证书上传后才能恢复?

#5 楼 @happyming9527 旧的证书还可以用的,除非你 revoke 它。所以,你可以无缝更换证书,中间不会有不可用的时间差。

SSL 证书是一个证书,这意味着:

  • 多张证书可以同时存在;
  • 一张证书可以部署到不同的服务器上,只要域名能配上。

多级泛域名证书要看你的具体应用场景,如果是 *.b.com*.a.b.com 的话就只要两张证书。如果是 *.*.b.com 的话就比较麻烦了。

如果你只是有多个域名,但不需要泛域名的话,可以用 Let's encrypt 的 SAN 证书,单张证书支持 100 个不同的普通域名。

@msg7086 我的使用场景就是 .b.com 和.a.b.com,这样的情况是不是需要买两个证书?单张 wildcard 证书可以选择.b.com 这样 wildcard,也可以设置成.a.b.com 这样子是么?

#8 楼 @happyming9527 两张泛域名应该就行了。

(反正也不贵,商用选收费证书的话也就几十刀一年嘛。自用的话拿免费的就行了。

如果要强行兼容 IE6 的话需要两个 IP 各放一张泛域名证书,否则单个 IP 上部署两张即可。

@kgen baidu 的证书,怎么看上去有很多三级的泛域名。这也是 multi-domain 证书吗,怎么看上去没有域名数量的限制,而且像是泛域名证书?申请 multi-domain 证书需要每个域名都通过绑定域名的邮箱,或者域名根目录下文件来验证域名所有权么?

#10 楼 @happyming9527 是的。

域名数量的限制纯粹取决于 SSL 证书供应商的套餐,不是技术上必须限制数量,比如你付$100 肯定没有无限子域名,但是你付$10000,肯定宽松啦。

域名所有权当然是验证主域名的,不存在主域名在你手里,但是子域名不在你手里的情况。所以,无限个子域名,也只要验一次主域名的所有权。

happyming9527 关闭了讨论。 12月08日 09:02
需要 登录 后方可回复, 如果你还没有账号请 注册新账号