SAN 证书提供了一种方便且经济高效的解决方案,使用单个证书保护多个主机名或域。 在本指南中,我们将介绍您需要了解的有关 SAN 证书以及如何使用它们的所有信息。
什么是SAN证书?
A 证书是一种特殊的SSL/TLS 允许在一个证书下保护多个主机名或域的证书。 不同的主机名在证书中列为“主题备用名称”。
SAN 证书的名称包括统一通信证书 (UCC)、多域证书和 Exchange 证书。 但它们都指的是同一件事:保护多个名称/域的单个证书。
SAN 证书的主要优势是整合。 您不需要为要保护的每个主机名或域使用单独的证书。 一张 SAN 证书即可保护所有这些内容。
SAN 证书的优点和用例
许多优点使 SAN 证书在各种用例中广受欢迎:
-
保护多个主机名或域——显而易见的好处! 单个 SAN 证书可以保护 www、邮件、FTP 和任何其他所需的子域 - 不再需要处理各个证书。
-
在多台服务器上使用一个证书 – 与传统的单名称证书不同,SAN 证书可以根据需要同时安装在任意多台服务器上。
-
灵活地更改名称 – 您可以随时重新颁发或更换 SAN 证书以添加或删除安全名称。 很方便。
-
支持多个 IP 和私钥 – SAN 证书支持跨多个服务器具有不同 IP 地址的托管环境。
-
节省成本 – 对于相同的覆盖级别,一个 SAN 证书的成本低于多个单名称证书。
一些非常适合 SAN 证书的常见用例:
-
保护域名的 www 和非 www 版本
-
具有多个域的邮件服务器
-
负载平衡的网络服务器
-
多个内部主机名/IP
-
正在进行品牌重塑的网站
任何需要保护多个不同主机名或域的情况都使 SAN 证书成为理想的灵活解决方案。
SAN 证书的技术详细信息
现在,让我们了解 SAN 证书如何工作的技术细节:
-
SAN 证书在一份证书下最多可以包含 500 个名称。 这由主要通用名 (CN) 和主题备用名称组成。
-
支持的名称类型包括完全限定域名 (FQDN),例如 和 mail.domain.com。
-
还支持通配符名称,例如 *.domain.com。 但是,不允许使用 *.sub.domain.com 等多级通配符。 例如,*.example.com 将匹配 test.example.com,但不匹配 test.sub.example.com。 通配符仅适用于一个子域级别。
-
该证书可以根据需要在任意数量的服务器上同时使用。 重用没有技术限制。
-
SAN 证书上的名称也可以通过重新颁发来更改。 无需等待过期!
SAN 证书的公钥/私钥对可保护所有包含的名称。 但是,证书可以包含不同的 IP,并可以在服务器上使用多个私钥进行安装。
获取并实施 SAN 证书
让我们介绍一下获取 SAN 证书并使用它的过程:
首先,你需要 其中包括所有要保护的主机名。 这是通过您的网络服务器或 .
接下来,从受信任的证书颁发机构(例如 。 CA 将验证您的身份并颁发可信证书,其中包含在 CSR.
颁发后,在所有 Web 服务器、邮件服务器、负载平衡器等上下载并安装 SAN 证书。该证书可保护与任何包含的主机名的连接。
您的网站访问者、电子邮件用户和其他客户将无缝信任该证书。 连接到 SAN 证书中的任何主机名都将成功验证,并且他们将看到令人放心的挂锁图标。
添加或更改主机名时,请保持证书续订和更新。 与管理单个证书相比,SAN 证书使此过程变得快速且方便。
结论和建议
SAN 证书通过将多个主机名整合在一个 SSL/TLS 证书。
A 如果您需要保护多个域或子域、在多个服务器上使用相同的证书或频繁更改主机名,那么适合您。