每个SSL 证书的生命周期包括三个主要阶段:激活、域所有权(在某些情况下 - 公司所有权)验证和在网站托管服务器上安装证书文件。为了在地址栏中看到安全的 https:// 连接,我们需要了解整个三阶段过程,这一切都始于 CSR 代码的生成。
CSR 代表证书签名请求,这是获得为您的域名发放的 SSL 证书的第一个也是最重要的步骤。当 SSL 证书购买后,您会注意到它尚未分配给任何域或子域名。CSR 代码将使您能够指定确切的(子)域名,您希望为其发放证书。CSR 代码可以通过您的主机软件生成,也可以由您的主机提供商生成。这些操作手册可以使用。通常,您将被要求提供以下信息:
- 组织 (O)
- 组织单位 (OU)
- 国家 (C)
- 州 (S)
- 地区 (L)
- 通用名称 (CN)
以下是 CSR 代码的样子:
-----BEGIN CERTIFICATE REQUEST-----
MIIByjCCATMCAQAwgYkxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9yb
mlhMRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRMwEQYDVQQKEwpHb29nbGU
*** 更多编码数据在这里***
gSW5jMR8wHQYDVQQLExZJbmZvcm1hdGlvbiBUZWNobm9sb2d5MRcwFQYDVQQD
Ew53d3cuZ26iNh8f8z0ShGsFqjDgFHyF3o+lUyj+UC6H1QW7bn
-----END CERTIFICATE REQUEST-----
如果上述所有要点都不难理解,则「通用名称」部分需要一些额外的细节。通用名称是与 SSL 证书相关的一个(或多个)主机名。换句话说,这是一个完全合格的域名(或子域)名称(FQDN),您希望其能够使用 HTTPS 访问。然而,我们需要记住,当发放的 SSL 证书将仅对 CSR 代码中指定的确切 FQDN 有效,并且对子域名的 HTTPS 访问将导致浏览器警告。让我们查看一个示例以便更好理解:
为www.example.com 生成的 CSR 代码激活的 SSL 证书将不会涵盖security.example.com或 example.com 的任何其他子域。它仅对 CSR 中指定的 FQDN 有效。另一方面,为security.example.com生成的 CSR 代码激活的 SSL 将不涵盖www.example.com及example.com。
CSR 代码需要根据某些规则生成。一般要求是字母数字字符,并且不使用特殊字符,如!@#$%^()~?><&/,."_'。请在 CSR 代码生成期间避免使用密码。挑战密码是 CSR 属性,指定实体可以请求证书撤销的密码。这种做法早已被淘汰,如今被视为过时。
如今,IDN 域名(国际域名)越来越受欢迎。如果您注册了此类域名,您绝对可以用 SSL 证书保护它。在这种情况下,您的域名需要转换为punycode并在 CSR 代码中作为通用名称指明。请随意使用这个转换器来达到这个目的。
值得一提的是,有些 SSL 证书可以涵盖www.example.com 和 example.com。COMODO CA这一选项已经提供了相当长一段时间。
下面的示例表格在生成 CSR 代码时可能会非常有用。
单域名 SSL 证书
| 期望结果 | CSR 代码需要生成... | 可用的 SSL 证书选项 |
|---|---|---|
| https://www.example.com 和 https://example.com | 您可以为 www.example.com 或 example.com 生成您的 CSR 代码。您的证书将涵盖这两个主机名。 | PositiveSSL EssentialSSL InstantSSL InstantSSL Pro PremiumSSL EV SSL |
通配符 SSL 证书
| 期望结果 | CSR 代码需要生成... | 可用的 SSL 证书选项 |
|---|---|---|
| https://example.com https://www.example.com https://subdomain.example.com https://subdomain1.example.com https://anything.example.com *无限* |
CSR 代码需要生成*.example.com。这样的证书将涵盖无限数量的一级子域名,可替代星号。基域 (example.com) 也会被涵盖。 | PositiveSSL Wildcard Essential Wildcard PremiumSSL Wildcard |
| https://subdomain.example.com https://subdomain1.subdomain.example.com https://subdomain2.subdomain.example.com https://subdomain3.subdomain.example.com https://subdomain4.subdomain.example.com *无限* |
CSR 代码需要生成*.subdomain.example.com。这样的证书将涵盖无限数量的一级子域名,可替代星号。基域 (subdomain.example.com) 也会被涵盖,但不包括 example.com。 | PositiveSSL Wildcard Essential Wildcard PremiumSSL Wildcard |
注意: 通配符 证书不能用为*.*.example.com 或 *.*.subdomain.example.com 生成的 CSR 代码来激活
多域名 SSL 证书
| 期望结果 | CSR 代码需要生成... | 可用的 SSL 证书选项 |
|---|---|---|
| https://www.example.com https://example.com https://domain.net https://www.domain.net https://subdomain.domain.net https://domain.org https://subdomain.domain.org *任意子域名或域名和 TLD 的组合* |
CSR 代码需要生成所有您希望用 SSL 证书保护的域或子域名称。不过,如果您的网页服务器软件不允许,您可以为一个域名称生成它,并在激活过程中手动输入其他域名。 | PositiveSSL Multi-Domain EV Multidomain SSL Multi-Domain SSL |
注意: PositiveSSL Multi-Domain、EV Multidomain SSL 和 Multi-Domain SSL 可以保护最多 100 个域或子域名称。裸域 (example.com) 和其 www 子域 (www.example.com) 需要在 CSR 代码中单独指明。
请记住,这些证书的 CSR 代码应包含至少两个(子)域名称(当然,如果证书是作为多域名购买的话)。否则,将无法激活它,并在需要时添加其他域名。如果您的主机软件无法为多个主机名生成 CSR 代码,可以在激活过程中手动添加额外的域名。
如果您对最合适的 SSL 证书类型、CSR 代码中的通用名称、证书激活程序或其他任何事项有任何疑虑,请随时通过电子邮件或 WhatsApp 与我们联系。