Skip to content

泛域名证书

泛域名证书是一种特殊的数字证书,它可以为一个域名以及该域名下的所有子域名提供 HTTPS 加密保护。这种证书也被称为通配符证书,因为它使用通配符符号(*)来匹配多个子域名。例如,一个泛域名证书可以同时保护 example.com*.example.com,包括 blog.example.comshop.example.com 等所有子域名。

1. 泛域名证书的优势

  • 统一管理:使用单个泛域名证书可以统一管理所有子域名的安全性,无需为每个子域名单独购买和维护证书。
  • 节省成本:相比为每个子域名单独购买 SSL 证书,泛域名证书可以显著降低证书采购和管理成本。
  • 灵活性高:可以随时添加或删除子域名,而无需重新申请证书。

2. 泛域名证书的类型

泛域名证书主要有两种类型:

  • DV(Domain Validation)基础型泛域名证书:只需验证域名所有权即可申请,适合个人和小微企业。
  • OV(Organization Validation)企业型泛域名证书:需要验证企业身份和域名所有权,提供更高级别的安全性和可信度。

3. 如何申请泛域名证书

3.1 使用 Let’s Encrypt 申请免费泛域名证书

Let’s Encrypt 是一个免费的、自动化的证书颁发机构,提供免费的 SSL 证书,包括泛域名证书。以下是申请步骤:

3.1.1 安装 Certbot

Certbot 是 Let’s Encrypt 的官方客户端工具,用于自动化证书申请和管理。安装方法如下:

  • Linux 系统 使用 snap 包管理工具安装:
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot

3.1.2 申请泛域名证书

使用 DNS 验证方式申请泛域名证书:

sudo certbot certonly --manual --preferred-challenges dns -d *.example.com -d example.com

根据提示,在 DNS 设置中添加 _acme-challenge 的 TXT 记录,完成域名验证。

3.1.3 自动续期

Let’s Encrypt 的证书有效期为 90 天,需要定期续期。可以使用以下命令测试续期:

sudo certbot renew --dry-run

配置自动续期任务:

sudo crontab -e

添加以下内容,设置每天凌晨 2 点自动续期:

0 2 * * * /usr/bin/certbot renew --quiet

3.2 使用商业证书颁发机构申请付费泛域名证书

如果需要更高级别的安全性和可信度,可以选择购买商业证书颁发机构(如 Sectigo、AlphaSSL 等)提供的泛域名证书。这些证书通常有效期为 1 年或更长,但需要付费。

3.2.1 Sectigo 免费泛域名证书

Sectigo 提供免费的 DV 泛域名证书,有效期为 3 个月。申请方法如下:

  1. 访问 Sectigo 官方网站
  2. 选择免费 DV 泛域名证书,填写申请信息。
  3. 验证域名所有权后,证书将发放到指定邮箱。

3.2.2 AlphaSSL 免费泛域名证书

AlphaSSL 是 GlobalSign 旗下的证书品牌,也提供免费的泛域名证书。申请方法如下:

  1. 生成 CSR(证书签名请求),确保在 CSR 中包含 *. 前缀。
  2. AlphaSSL 官方网站 上申请证书,输入 CSR 和验证信息。
  3. 验证域名所有权后,证书将发放到指定邮箱。

4. 证书安装与配置

申请到泛域名证书后,需要将其安装到服务器上。以下是常见的服务器配置示例:

4.1 Nginx 配置

将证书文件(fullchain.pem)和私钥文件(privkey.pem)放置到服务器的指定目录中,然后修改 Nginx 配置文件:

server {
    listen 443 ssl;
    server_name example.com *.example.com;

    ssl_certificate /path/to/fullchain.pem;
    ssl_certificate_key /path/to/privkey.pem;

    location / {
        # 你的网站内容
    }
}

重启 Nginx 服务以使配置生效:

sudo systemctl restart nginx

5. 注意事项

  • 证书有效期:Let’s Encrypt 的证书有效期为 90 天,建议配置自动续期任务以避免证书过期。
  • 域名验证:申请泛域名证书时,必须通过 DNS 验证方式验证域名所有权。
  • 安全性:如果需要更高的安全性,建议选择 OV 或 EV 类型的证书。

Ref

https://developer.aliyun.com/article/1331965 https://www.bluesdream.com/blog/letsencrypt-extensive-domain-name-ssl-certificate.html https://zhuanlan.zhihu.com/p/19654769516 https://zhuanlan.zhihu.com/p/27815444397 https://www.cnblogs.com/michaelshen/p/18538178 https://developer.aliyun.com/article/919107 https://blog.csdn.net/itomp/article/details/123137358 https://blog.csdn.net/generalfu/article/details/138204486 https://cloud.tencent.com/developer/article/1500063 https://cloud.tencent.com/document/product/400/46862 https://bbs.huaweicloud.com/blogs/438530 https://digicert.idcspy.com/2910.html https://ffis.me/archives/2110.html https://www.cnblogs.com/txb1989/p/13079961.html