文档首页 > > 常见问题> 证书申购> 如何选择SSL证书?

如何选择SSL证书?

分享
更新时间: 2019/11/05 GMT+08:00

购买证书时,需要根据您的需要选择对应的证书,本章节将介绍如何选择证书类型、证书品牌、域名类型。

如何选择证书类型?

购买SSL证书时,SSL证书管理服务支持的“证书类型”分为“OV”“EV”2种类型。

  • 对于一般企业,建议购买OV及以上类型的数字证书。对于金融、支付类企业,建议购买EV型证书。
  • 移动端网站或接口调用,建议您使用OV及以上类型的证书。

您可以根据业务需求选择相应的证书类型,各个类型的证书之间的对比说明如表1所示。

表1 各种证书之间的区别(一)

证书类型

保护域名的类型

说明

OV:企业型(Organization Validation)SSL证书

  • 单域名
  • 多域名
  • 泛域名
  • 对申请公司单位做严格的身份审核验证。
  • 提供高强度通信链路加密功能,保护内外部网络上敏感数据传输。
  • 支持最多绑定100个域名;支持绑定通配符域名。

EV:增强型(Extended Validation)SSL证书

  • 单域名
  • 多域名
  • 对申请者做严格的身份审核验证,信任等级高。
  • 提供高强度通信链路加密功能,保护内外部网络上敏感数据传输。
  • 支持最多绑定100个域名;由于EV型证书对域名审核更严格,因此EV型证书暂时没有泛域名的类型。

不同类型SSL证书在加密算法、应用场景、部署后浏览器显示等方面的区别如表2所示。

表2 各种证书之间的区别(二)

证书类型

小绿锁

Https标志

显示企业名称

算法支持

典型应用场景

OV企业型

-

RSA

中小型企业应用、电商等服务,支持各类应用,如Apple Store、微信小程序等。

EV增强型

RSA

有严格安全要求的大型企业。

如何选择证书品牌?

目前仅支持Globalsign品牌。

GlobalSign是一家声誉卓著,备受信赖的CA中心和SSL数字证书提供商,并在全球拥有众多合作伙伴。

如何选择域名类型?

购买SSL证书时,需要根据您的域名情况,选择对应的域名类型。SSL证书管理服务支持的“域名类型”“单域名”“多域名”“泛域名”3种类型。

表3 域名类型

参数名称

参数说明

单域名

仅支持绑定1个普通域名。

如果您仅有一个域名,则选择单域名类型。

多域名

  • 可以绑定多个普通域名。这些域名可以是一个顶级域名也可以是非顶级域名,例如:p1.huaweicloud.com,p1.test.huaweicloud.com等。
  • 有几个域名需要绑定在同一个SSL证书里,则需要选择对应的域名数量。
  • 域名数量范围为“2~100”,支持最多绑定100个域名。

如果您有多个域名,则选择多域名类型。需要根据域名个数,在购买页面购买对应的域名数量。

泛域名

  • 仅支持绑定1个泛域名。
  • 泛域名一般格式带1个通配符“*”且以“*.”开头,例如, *.huaweicloud.com、 *.example.huaweicloud.com等。
  • 仅支持同级匹配,例如:绑定*.huaweicloud.com通配符域名的数字证书,支持p1.huaweicloud.com,但不支持p2.p1.huaweicloud.com。如果你需要支持p2.p1.huaweicloud.com的通配符域名数字证书,则还需要购买一张*.p1.huaweicloud.com的通配符域名证书。更多级别匹配规则请参见表4

如果您的域名在同一个级别,且未跨级别,均在一个级别,则选择泛域名类型。

如果您有≥1个泛域名和≥1个普通域名需要绑定在同一个SSL证书里,则需要提交工单进行处理。具体操作方法请参见多泛域名和混合域名证书的申请方法

购买泛域名证书,需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名,不能跨级匹配,具体示例如表4所示。

表4 泛域名匹配规则示例

域名

匹配的域名

不匹配的域名

*.huaweicloud.com

test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名

abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名

*.test.huaweicloud.com

abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名

abc.example.com、yun.example.com、example.example.com等域名

  • 泛域名的数字证书中,仅根域名包含域名主体本身。例如:
    • *.huaweicloud.com的泛域名数字证书包含了huaweicloud.com,还可匹配同级别的域名。无需再购买证书绑定huaweicloud.com。
    • *.p1.huaweicloud.com的泛域名数字证书不包含p1.huaweicloud.com,只能匹配同级别的域名。如果需要绑定p1.huaweicloud.com,则需要购买证书来进行绑定。
  • 具体的域名中如果填写的是www域名,则包含了主域名本身。例如:
    • www.huaweicloud.com域名绑定的数字证书包含了huaweicloud.com,无需再购买证书绑定huaweicloud.com。
    • www.p1.huaweicloud.com域名绑定的数字证书不包含p1.huaweicloud.com。如果需要绑定p1.huaweicloud.com,则需要购买证书来进行绑定。
  • 您的数字证书一旦颁发后,将无法修改域名信息等。

具体选择示例如表5所示:

表5 选择域名类型示例

场景示例

域名情况示例

选择域名类型

选择域名数量

您仅有一个域名

示例1:huaweicloud.com

单域名

单域名类型,“域名数量”固定为“1”

示例2:test.huaweicloud.com

单域名

示例3:p1.test.huaweicloud.com

单域名

您有多个域名

示例1:2个域名

huaweicloud.com、p1.huaweicloud.cn

多域名

2

示例2:3个域名

huaweicloud.com、p1.huaweicloud.cn和p1.test.huaweicloud.cn

多域名

3

示例3:4个域名

huaweicloud.com、test.huaweicloud.cn、p1.test.huaweicloud.cn和p1.test.yun.huaweicloud.com

多域名

4

您有多个域名,且在同一个级别

test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等,均在一个级别,在*.huaweicloud.com的包含范围内

泛域名

泛域名类型,“域名数量”固定为“1”

分享:

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区