如何选择SSL证书?
- 如何选择证书类型?
购买SSL证书时,SSL证书管理服务支持的“证书类型”分为“OV”、“OV Pro”、“EV”、“EV Pro”、“DV”、“DV(Basic)”6种类型。
- 对于一般企业,建议购买OV及以上类型的数字证书。对于金融、支付类企业,建议购买EV型证书。
- 移动端网站或接口调用,建议您使用OV及以上类型的证书。
- 如果您的网站主体是个人(即没有企业营业执照),只能申请DV(Basic)基础版数字证书。
- 如何选择证书品牌?SSL证书支持的品牌包括“DigiCert”、“GlobalSign”、“GeoTrust”,各证书品牌的说明如下表所示。
表1 证书品牌说明 证书品牌
说明
DigiCert
DigiCert(原Symantec)是全球最大、最权威的数字证书颁发机构。全球著名的数字证书提供商,服务范围超过150多个国家,拥有超过10万客户。
优势:安全、稳定、兼容性好。受银行、金融等行业青睐,适用于高安全性要求的数字交易场景。
GeoTrust
GeoTrust是全球第二大数字证书颁发机构,也是身份认证和信任认证领域的领导者。公司服务于各大中小型企业,一直致力于用最低的价格来为客户提供最好的服务。
优势:该品牌是DigiCert旗下的子品牌。安全、稳定、兼容性好、HTTPS防护门槛低、性价比高。
GlobalSign
GlobalSign成立于1996年,是全球最早的数字证书认证机构之一。它是一家声誉卓著,备受信赖的CA中心和SSL数字证书提供商,并在全球拥有众多合作伙伴。
优势:签发速度快、验证速度快。该品牌是华为云、大型电商企业都在用的证书,全系标配的RSA+ECC算法,资源占用少。
- 如何选择域名类型?
购买SSL证书时,需要根据您的域名情况,选择对应的域名类型。SSL证书管理服务支持的“域名类型”有“单域名”、“多域名”和“泛域名”3种类型。
表2 域名类型 参数名称
参数说明
单域名
即单个SSL证书只支持绑定1个单域名。例如,example.com
多域名
即单个SSL证书可以同时绑定多个域名。
最多可以支持100个域名。
泛域名
即单个SSL证书支持绑定一个且只有一个泛域名。*.*.example.com多个通配符的泛域名不支持。
泛域名只允许添加一个通配符域名,例如*.example.com(包含a.example.com、b.example.com、......,但是不包含a.a.example.com)。
更多关于如何选择域名类型,详情请参见如何选择域名类型?
- 泛域名匹配规则
购买泛域名证书,需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名,不能跨级匹配,具体示例如下表所示。
表3 泛域名匹配规则示例 域名
匹配的域名
不匹配的域名
*.huaweicloud.com
a.huaweicloud.com、b.huaweicloud.com、c.huaweicloud.com等域名
a.test.huaweicloud.com、b.test.huaweicloud.com、c.test.huaweicloud.com等域名
*.test.huaweicloud.com
a.test.huaweicloud.com、b.test.huaweicloud.com、c.test.huaweicloud.com等域名
a.huaweicloud.com、b.huaweicloud.com、c.huaweicloud.com等域名
泛域名的数字证书中,仅根域名包含域名主体本身。例如:- *.huaweicloud.com的泛域名数字证书包含了huaweicloud.com,还可匹配同级别的域名。无需再购买证书绑定huaweicloud.com。
- *.p1.huaweicloud.com的泛域名数字证书不包含p1.huaweicloud.com,只能匹配同级别的域名。如果需要绑定p1.huaweicloud.com,则需要购买证书来进行绑定。
