我需要哪种类型的SSL/TLS证书?要搞清楚这个问题,你需要对证书的作用,证书的分类,以及证书能够支持的域名稍微有点了解,下面我们围绕这几个问题一步一步讲解
1.你的域名注册了吗?
首先,你得有一个"合法"的域名,这里合法的域名指的是通过域名注册商购买注册得到的域名,你对这个域名有控制权,因为证书颁发机构(CA)依照规定必须验证你对域名有控制权后才有可能给你签发证书
如果你的域名不是通过域名注册商注册得到的,那可能是一个内网主机名,根据规定CA不能给这类域名签发SSL证书
当然除了使用域名,你也可以使用公网IP地址申请SSL证书,请注意,这里必须是公网IP地址,根据规定CA不能给内网IP地址签发SSL证书,而且不是所有证书均支持公网IP地址签发证书,仅有小部分的证书可以支持IP地址签发证书
2.你对域名或公网IP地址有控制权吗?
根据规定,CA签发证书前必须确认你对域名有控制权,CA通常是提供通过管理员邮箱、DNS记录、文件验证这三种方式确认验证控制权,你可以选择对你来说最方便的方式,请注意,IP地址申请证书,仅支持文件验证方式,所以这意味着,你的IP地址必须开通80或443端口,CA仅支持通过这两个端口验证文件
3.你需要哪一种信任等级的SSL证书?
SSL证书除了提供加密功能,实现访客与网站之间的所有通信以加密的方式传输,同时也按照证书所能包含的认证信息,以及如何展示这些认证信息,把证书分成三类,从高到低分别是:EV 增强型SSL证书、OV 企业型SSL证书、DV 域名型SSL证书,所以在选择证书的时候,你要考虑“是否希望访客对我的网站更加信任?”,你还要考虑是否让你企业品牌形象在网络中更好的展示给访客?是否让访客很容易的在地址栏中看到你的企业名称?让你的企业名称和你的域名联系在一起是否很重要?
EV 增强型SSL证书
EV SSL证书最大的特点是访客很容易通过地址栏看到网站的企业名称信息,EV SSL证书包含企业大部分常规信息,审核验证流程也是最严格的
OV 企业型SSL证书
OV 企业型SSL证书包含了商业认证信息,也就是说你的企业信息将会展示在证书上面,但是与EV SSL证书不同,这些信息并不直接展示在地址栏,而是通过点击证书详情页查看这些具体信息
DV SSL证书
证书不显示公司名称等单位信息,DV证书具有网站数据传输加密功能,但是不具备网站经营者身份认证功能,即访客不能通过查看证书信息获取网站经营者的单位信息
4.你有多少个域名需要使用HTTPS加密?
单域名证书
如果你仅有一个域名,不管是顶级域名,例如 baidu.com 或者是二级域名,例如 music.baidu.com , 你仅需要购买一个单域名SSL证书即可 ,你可以选择 DV 、OV 或 EV SSL证书
通配符证书(泛域名证书)
如果你的证书还要保护多个二级域名,例如
- api.baidu.com
- music.baidu.com
- pan.baidu.com
那么你可能要考虑通配符证书,一个通配符证书可以包含同一个域名的所有二级域名,对于通配符证书,你可以选择 DV 或 OV 级别的SSL证书,这两种均有支持通配符的证书类型
多域名证书
如果你要保护多个不同的域名,例如:
- www.baidu.com
- www.hao123.com
- pan.baidu.com
- www.baidu.cn
- abc.baidu.cn
这种情况,你可能要考虑多域名SSL证书,一个多域名证书可以保护多大500不同的域名,多域名证书的优势就是你所有的域名都可以签发在一个证书里面,实现所有域名统一管理,例如统一采购,统一签发证书,安装替换,当然也是同一个时间续费,所有域名在同一个证书里面,到期时间是一样的,DV、OV、EV SSL证书均可支持多域名