每個SSL 證書的生命週期包括三個主要階段:激活、域所有權(在某些情況下 - 公司所有權)驗證和在網站托管伺服器上安裝證書文件。為了在地址欄中看到安全的 https:// 連接,我們需要了解整個三階段過程,這一切都始於 CSR 代碼的生成。
CSR 代表證書簽名請求,這是獲得為您的域名發放的 SSL 證書的第一個也是最重要的步驟。當 SSL 證書購買後,您會注意到它尚未分配給任何域或子域名。CSR 代碼將使您能夠指定確切的(子)域名,您希望為其發放證書。CSR 代碼可以通過您的主機軟件生成,也可以由您的主機提供商生成。這些操作手冊可以使用。通常,您將被要求提供以下信息:
- 組織 (O)
- 組織單位 (OU)
- 國家 (C)
- 州 (S)
- 地區 (L)
- 通用名稱 (CN)
以下是 CSR 代碼的樣子:
-----BEGIN CERTIFICATE REQUEST-----
MIIByjCCATMCAQAwgYkxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9yb
mlhMRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRMwEQYDVQQKEwpHb29nbGU
*** 更多編碼數據在這裡***
gSW5jMR8wHQYDVQQLExZJbmZvcm1hdGlvbiBUZWNobm9sb2d5MRcwFQYDVQQD
Ew53d3cuZ26iNh8f8z0ShGsFqjDgFHyF3o+lUyj+UC6H1QW7bn
-----END CERTIFICATE REQUEST-----
如果上述所有要點都不難理解,則「通用名稱」部分需要一些額外的細節。通用名稱是與 SSL 證書相關的一個(或多個)主機名稱。換句話說,這是一個完全合格的域名(或子域)名稱(FQDN),您希望其能夠使用 HTTPS 訪問。然而,我們需要記住,當發放的 SSL 證書將僅對 CSR 代碼中指定的確切 FQDN 有效,並且對子域名的 HTTPS 訪問將導致瀏覽器警告。讓我們查看一個示例以便更好理解:
為www.example.com 生成的 CSR 代碼激活的 SSL 證書將不會涵蓋security.example.com或 example.com 的任何其他子域。它僅對 CSR 中指定的 FQDN 有效。另一方面,為security.example.com生成的 CSR 代碼激活的 SSL 將不涵蓋www.example.com及example.com。
CSR 代碼需要根據某些規則生成。一般要求是字母數字字符,並且不使用特殊字符,如!@#$%^()~?><&/,."_'。請在 CSR 代碼生成期間避免使用密碼。挑戰密碼是 CSR 屬性,指定實體可以請求證書撤銷的密碼。這種做法早已被淘汰,如今被視為過時。
如今,IDN 域名(國際域名)越來越受歡迎。如果您註冊了此類域名,您絕對可以用 SSL 證書保護它。在這種情況下,您的域名需要轉換為punycode並在 CSR 代碼中作為通用名稱指明。請隨意使用這個轉換器來達到這個目的。
值得一提的是,有些 SSL 證書可以涵蓋www.example.com 和 example.com。COMODO CA這一選項已經提供了相當長一段時間。
下面的示例表格在生成 CSR 代碼時可能會非常有用。
單域名 SSL 證書
| 期望結果 | CSR 代碼需要生成... | 可用的 SSL 證書選項 |
|---|---|---|
| https://www.example.com 和 https://example.com | 您可以為 www.example.com 或 example.com 生成您的 CSR 代碼。您的證書將涵蓋這兩個主機名稱。 | PositiveSSL EssentialSSL InstantSSL InstantSSL Pro PremiumSSL EV SSL |
通配符 SSL 證書
| 期望結果 | CSR 代碼需要生成... | 可用的 SSL 證書選項 |
|---|---|---|
| https://example.com https://www.example.com https://subdomain.example.com https://subdomain1.example.com https://anything.example.com *無限* |
CSR 代碼需要生成*.example.com。這樣的證書將涵蓋無限數量的一級子域名,可替代星號。基域 (example.com) 也會被涵蓋。 | PositiveSSL Wildcard Essential Wildcard PremiumSSL Wildcard |
| https://subdomain.example.com https://subdomain1.subdomain.example.com https://subdomain2.subdomain.example.com https://subdomain3.subdomain.example.com https://subdomain4.subdomain.example.com *無限* |
CSR 代碼需要生成*.subdomain.example.com。這樣的證書將涵蓋無限數量的一級子域名,可替代星號。基域 (subdomain.example.com) 也會被涵蓋,但不包括 example.com。 | PositiveSSL Wildcard Essential Wildcard PremiumSSL Wildcard |
注意: 通配符 證書不能用為*.*.example.com 或 *.*.subdomain.example.com 生成的 CSR 代碼來激活
多域名 SSL 證書
| 期望結果 | CSR 代碼需要生成... | 可用的 SSL 證書選項 |
|---|---|---|
| https://www.example.com https://example.com https://domain.net https://www.domain.net https://subdomain.domain.net https://domain.org https://subdomain.domain.org *任意子域名或域名和 TLD 的組合* |
CSR 代碼需要生成所有您希望用 SSL 證書保護的域或子域名稱。不過,如果您的網頁伺服器軟件不允許,您可以為一個域名稱生成它,並在激活過程中手動輸入其他域名。 | PositiveSSL Multi-Domain EV Multidomain SSL Multi-Domain SSL |
注意: PositiveSSL Multi-Domain、EV Multidomain SSL 和 Multi-Domain SSL 可以保護最多 100 個域或子域名稱。裸域 (example.com) 和其 www 子域 (www.example.com) 需要在 CSR 代碼中單獨指明。
請記住,這些證書的 CSR 代碼應包含至少兩個(子)域名稱(當然,如果證書是作為多域名購買的話)。否則,將無法激活它,並在需要時添加其他域名。如果您的主機軟件無法為多個主機名生成 CSR 代碼,可以在激活過程中手動添加額外的域名。
如果您對最合適的 SSL 證書類型、CSR 代碼中的通用名稱、證書激活程序或其他任何事項有任何疑慮,請隨時通過電子郵件或 WhatsApp 與我們聯繫。