更新时间:2024-12-17 GMT+08:00
分享

如何选择SSL证书?

购买证书时,需要根据您的需要选择对应的证书,本章节将介绍如何选择证书类型、证书品牌、域名类型。

各证书之间的区别,请参考各证书之间的区别

如何选择证书类型

购买SSL证书时,SSL证书管理服务支持的“证书类型”分为“OV”“OV Pro”“EV”“EV Pro”“DV”“DV(Basic)”6种类型。

  • 对于一般企业,建议购买OV及以上类型的数字证书。对于金融、支付类企业,建议购买EV型证书。
  • 移动端网站或接口调用,建议您使用OV及以上类型的证书。
  • 如果您的网站主体是个人(即没有企业营业执照),只能申请DV(Basic)基础版数字证书。

如何选择证书品牌

目前云证书管理支持购买的证书品牌及不同品牌支持签发的证书类型如下表所示:

表1 证书品牌说明

证书品牌

说明

是否支持DV(域名型)SSL证书

是否支持OV(企业型)SSL证书

是否支持EV(增强型)SSL证书

DigiCert

DigiCert(原Symantec)是全球最大、最权威的数字证书颁发机构。全球知名的数字证书提供商,服务范围超过150多个国家,拥有超过10万客户。

优势:安全、稳定、兼容性好。受银行、金融等行业青睐,适用于高安全性要求的数字交易场景。

支持单域名、泛域名。

支持单域名、多域名和泛域名和IP地址。

支持单域名、多域名。

GeoTrust

GeoTrust是全球第二大数字证书颁发机构,也是身份认证和信任认证领域的领导者。公司服务于各大中小型企业,一直致力于用最低的价格来为客户提供最好的服务。

优势:该品牌是DigiCert旗下的子品牌。安全、稳定、兼容性好、HTTPS防护门槛低、性价比高。

说明:

支持单域名、泛域名。

支持单域名、多域名和泛域名和IP地址。

支持单域名、多域名。

GlobalSign

GlobalSign成立于1996年,是全球最早的数字证书认证机构之一。它是一家声誉卓著,备受信赖的CA中心和SSL数字证书提供商,并在全球拥有众多合作伙伴。

优势:签发速度快、验证速度快。该品牌是华为云、大型电商企业都在用的证书,全系标配的RSA+ECC算法,资源占用少。

支持单域名、多域名、泛域名和IP地址。

支持单域名、多域名。

CFCA(国产)

中国金融认证中心(CFCA)是经中国人民银行牵头组建、国家信息安全管理机构批准成立的国家级权威的安全认证机构,通过了国际Webtrust认证,受到微软、Google、苹果、火狐、Adobe认可,是全球权威行业组织CA/B重要成员,亚洲PKI论坛成员。

优势:由中国权威数字证书认证机构自主研发,国产证书,支持RSA/SM算法。7*24小时金融级的安全保障服务,具有完善的风险承保计划。中文版全球信任体系电子认证业务规则(CPS),便于用户理解双方权利和义务。

支持单域名、多域名和泛域名和IP地址。

支持单域名、多域名。

TrustAsia(国产)

TrustAsia 是国产证书品牌,根据国内企业用户网络环境和使用习惯而建立,不仅提供支持主流RSA与ECC算法的“国际证书”,还提供支持我国商用密码SM2及相关标准算法的“国密证书”,支持中国区 OCSP。通过严密的企业级认证,为企业和个人提供安全可靠的加密数据传输和身份验证服务,全方位满足客户的不同要求。

优势:根据国内企业用户网络环境和使用习惯建立,支持RSA/ECC/SM2算法,支持中国区 OCSP,响应速度更快。

仅支持泛域名。

支持单域名、多域名和泛域名和IP地址。

支持单域名、多域名。

vTrus(国产)

vTrus是国产证书品牌,通过了国际Webtrust认证,支持国际主流的RSA标准加密算法,同时支持我国商用密码SM2标准算法。

优势:兼容性好,支持所有主流操作系统及软件库(如iOS 5+,Android4.0,Windows Win7+,Java1.6.15+),支持99.99%的主流浏览器(如Chrome、IE、Safari、火狐等),国密证书兼容国密浏览器(如360国密浏览器、奇安信浏览器、红莲花浏览器等)

支持单域名、泛域名。

支持单域名、多域名和泛域名和IP地址。

惠赠活动

  • 单域名:以域名www.a.com和根域名a.com为例进行说明
    图1 单域名品牌惠赠活动
  • 泛域名:以域名*.a.com和*.a.b.com为例进行说明
    图2 泛域名品牌惠赠活动

如何选择域名类型

购买SSL证书时,需要根据您的域名类型,选择对应的域名类型证书。SSL证书管理服务支持的“域名类型”“单域名”“多域名”“泛域名”3种类型。

表2 域名类型

参数名称

参数说明

单域名

单域名类型证书。

仅支持绑定1个普通域名。

如果您仅有一个域名,则选择单域名类型。

多域名

多域名类型证书

  • 可以绑定多个不同的域名,域名可包含多个单域名。如购买多域名类型证书,域名数量为3的场景,可同时支持example.com、example.cn、test.com3个域名。

    “证书类型”为OV、OV Pro时,域名可包含多个单域名和多个带通配符的(*)域名。如购买多域名类型证书,域名数量为3的场景,可同时支持*.example.com、example.cn、test.com3个域名。

  • 有几个域名需要绑定在同一个SSL证书里,则需要选择对应的域名数量。
  • 由于各个证书品牌针对www型域名有不同的惠赠活动,具体的详见如何选择证书品牌,导致多域名证书在绑定www型域名时,有如下限制(以下以域名www.a.com和根域名a.com为例进行说明)。
    • DigiCert和GeoTrust品牌,为www.a.com或者a.com购买的证书,该证书同时支持防护另一个域名,即如果您购买的是这两个品牌的多域名证书,且同时需要防护www.a.com和a.com,只需要且只能绑定其中一个域名即可。
    • GlobalSign品牌,为www.a.com购买的证书,该证书同时支持防护a.com这个域名,但是为a.com购买的证书,不支持防护www.a.com域名。即如果您购买的是这个品牌的多域名证书,且同时需要防护www.a.com和a.com,只需要绑定www.a.com域名即可。
  • 域名数量范围为“2~250”,支持最多绑定250个域名。

    域名数量须满足以下条件:

    • 主域名数量固定为1个
    • 附加单域名数量≥1个(当证书类型为OV、OV Pro时,附加单域名数量+附加泛域名数量≥1)
    须知:

    GeoTrust品牌的域名数量范围为“5~250”,其中,单域名数量需≥5个。

如果您有多个域名,则选择多域名类型。需要根据域名个数,在购买页面购买对应的域名数量。

泛域名(通配符域名)

泛域名类型证书,也叫通配符证书

  • 仅支持绑定1个泛域名。
  • 泛域名一般格式带1个通配符“*”且以“*.”开头,例如, *.huaweicloud.com、 *.example.huaweicloud.com等。
  • 仅支持同级匹配,例如:绑定*.huaweicloud.com通配符域名的数字证书,支持p1.huaweicloud.com,但不支持p2.p1.huaweicloud.com。如果需要支持p2.p1.huaweicloud.com的泛域名证书,则还需要购买一张*.p1.huaweicloud.com的泛域名证书。更多级别匹配规则请参见表3

如果您的域名未跨级别,则选择泛域名类型。

如果您有≥1个泛域名和≥1个普通域名需要绑定在同一个SSL证书里,则可购买OV、OV Pro类型的多域名证书。具体操作方法请参见多泛域名和混合域名证书的申请方法

购买泛域名证书,需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名,不能跨级匹配,具体示例如表3所示。

表3 泛域名匹配规则示例

域名

匹配的域名

不匹配的域名

*.huaweicloud.com

test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名

abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名

*.test.huaweicloud.com

abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名

abc.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名

  • 泛域名的数字证书中,仅根域名包含域名主体本身。泛域名证书只能匹配同级别的子域名,不能跨级匹配。匹配规则具体如下:
    • 如果泛域名证书的主域名为一级域名,云证书管理服务默认赠送主域名。例如:您购买的泛域名证书为*.huaweicloud.com其包含了huaweicloud.com,为您默认赠送huaweicloud.com域名,无需再购买证书绑定huaweicloud.com。
    • 如果泛域名证书的主域名不是一级域名,例如:您购买的泛域名证书为*.p1.huaweicloud.com其不包含p1.huaweicloud.com,则不会赠送p1.huaweicloud.com或huaweicloud.com,只能匹配同级别的域名。如果需要绑定p1.huaweicloud.com或huaweicloud.com,则需要购买证书来进行绑定。
  • 具体的域名中如果填写的是www的三级域名,则包含了主域名本身。例如:

    www.huaweicloud.com域名绑定的数字证书包含了huaweicloud.com,无需再购买证书绑定huaweicloud.com。

  • 您的数字证书一旦颁发后,将无法修改域名信息等。

具体选择示例如表4所示:

表4 选择域名类型示例

场景示例

域名情况示例

选择域名类型

选择域名数量

您仅有一个域名

示例1:huaweicloud.com

单域名

单域名类型,“域名数量”固定为“1”

示例2:test.huaweicloud.com

单域名

示例3:p1.test.huaweicloud.com

单域名

您有多个域名

示例1:2个域名

huaweicloud.com、p1.huawei.com

多域名

2

示例2:3个域名

huaweicloud.com、p1.huawei.com和p1.test.huaweicloud.cn

多域名

3

示例3:4个域名

huaweicloud.com、test.huaweicloud.cn、p1.test.huaweicloud.cn和p1.test.yun.huaweicloud.com

多域名

4

您有多个域名,且在同一个级别

test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等,均在一个级别,在*.huaweicloud.com的包含范围内

泛域名

泛域名类型,“域名数量”固定为“1”

相关文档