通配符SSL证书(Wildcard SSL Certificate),又称泛域名证书,是一种特殊的SSL/TLS证书,可保护一个主域名及其所有子域名,无需为每个子域名单独申请证书。
1.功能与优势
加密通信:确保用户与网站之间的数据传输安全,防止数据泄露或篡改。
身份验证:验证网站身份,防止钓鱼网站,提升用户信任。
灵活性:新增子域名时,无需重新申请或审核证书,直接继承保护。
成本效益:相比为每个子域名单独购买证书,显著降低费用。
管理便捷:统一管理所有子域名的证书,减少维护复杂度。
2.通配符SSL证书类型
DV型通配符:仅需验证域名所有权,签发速度快,几分钟即可获得证书。
OV型通配符证书:不仅需要验证域名所有权,还需进行企业信息验证,签发时间大概需要1-3个工作日。
3.应用场景
适用于拥有多个子域名的大型网站,如企业官网、电商平台、在线服务平台等。
适合需要频繁添加子域名的网站,如测试环境、临时活动页面等。
二、如何申请通配符SSL证书?
1. 选择服务商
找一家专业靠谱的CA机构
2. 注册账号并选择证书类型
在SSL证书选项中,选择“通配符证书”。
3. 申请签发
按照步骤填写域名和单位信息
4. 域名验证
服务商提供三种验证方式,任选其一:
DNS验证(推荐) :
在域名DNS管理面板添加TXT记录,值为服务商提供的字符串。
文件验证:
下载验证文件并上传至服务器根目录。
邮件验证:
通过域名管理员邮箱确认申请。
5. 下载证书包
验证通过后,登录服务商账号下载证书文件,通常包含:
主证书(.crt或.pem格式)。
中间证书(CA链文件)。
私钥文件(.key格式,需与CSR生成时一致)。
三、如何安装通配符SSL证书?
1. Apache服务器安装
步骤:
上传证书文件至服务器(推荐路径:/etc/ssl/certs/主证书,/etc/ssl/private/私钥)。
修改Apache配置文件:
ServerName 网址
SSLEngine on
SSLCertificateFile /etc/ssl/certs/yourdomain.crt
SSLCertificateKeyFile /etc/ssl/private/yourdomain.key
SSLCertificateChainFile /etc/ssl/certs/intermediate.crt
重启Apache服务:
sudo systemctl restart apache2
2. Nginx服务器安装
步骤:
合并主证书与中间证书为一个文件。
编辑Nginx配置文件:
server {
listen 443 ssl;
server_name 网址;
ssl_certificate /path/to/fullchain.pem;
ssl_certificate_key /path/to/yourdomain.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
}
设置HTTP跳转HTTPS(可选):
server {
listen 80;
server_name 网址;
return 301 https://hosthosthostrequest_uri;
}
重启Nginx服务:
sudo nginx -s reload
3. IIS服务器安装
步骤:
打开IIS管理器,导入.pfx证书文件(需密码)。
在网站绑定中添加HTTPS,选择通配符证书并指定主机名。
重启IIS服务:
iisreset
四、验证与维护
1.检查HTTPS连接:
访问任意子域名,浏览器地址栏应显示安全锁标志。
2.续签提醒:
设置邮件提醒或使用自动续签工具,避免证书过期。
五、常见问题
Q:通配符证书与多域名证书的区别?
通配符证书保护一个主域名及所有子域名;多域名证书可包含多个独立域名,适合无关联域名的场景。
Q:子域名无法通过HTTPS访问?
检查DNS解析是否生效、IIS/Nginx绑定配置是否正确、浏览器缓存是否清除。
通过以上步骤,您可为网站快速部署通配符SSL证书,实现全站HTTPS加密,提升安全性和用户体验。
