什么是多域名(SAN)证书?
在订购或颁发新的TLS/SSL证书时,使用者可选名称字段能让您指定要由多域名(SAN)证书或扩展验证多域名证书等单个TLS/SSL证书所保护的其他主机名(即站点、IP地址、公用名等)。
在1999年之前,使用者可选名称扩展是X509证书标准的一部分,但直到Microsoft Exchange Server 2007发布后才被广泛使用。此更改通过简化服务器配置因而很有帮助。现在,使用者可选名称被广泛用于需要跨不同的域名和子域名保护多个网站名称的环境或平台。
使用者可选名称(SAN)的用途是什么?
使用者可选名称(SAN)有三种主要的使用方式:
- 通过单个TLS/SSL证书保护不同基域中的主机名:通配符证书可保护整个域中的所有一级子域名,例如*.example.com。然而,通配符证书不能同时保护www.example.com和www.example.net。
- 单个IP地址上的虚拟主机多TLS/SSL站点:在单台服务器上托管多个启用TLS/SSL的站点通常要求每个站点都有一个唯一的IP地址,但是具有使用者可选名称的多域名(SAN)证书可以解决这个问题。Microsoft IIS和Apache都能使用多域名(SAN)证书虚拟主机HTTPS站点。
- 极大地简化服务器的TLS/SSL配置:使用多域名(SAN)证书可以节省您在服务器上配置多个IP地址、将每个IP地址绑定到不同的证书,以及尝试将其拼凑在一起所耗费的精力和时间。
可以在哪儿看到使用者可选名称发挥作用?
要查看使用者可选名称的示例,请在此页面的地址栏中,点击浏览器中的挂锁标记以检查我们的TLS/SSL证书。在证书详细信息中,您会发现一个使用者可选名称扩展,它列出了www.digicert.com和digicert.com以及由我们的证书所保护的一些其他SAN。由于我们的证书中列出了digicert.com的名称,因此如果您通过https://digicert.com(名称中没有“www”)访问我们的网站,您的浏览器也不会发出警告。
浏览器如何使用TLS/SSL证书中的使用者可选名称字段?
当浏览器使用HTTPS连接到服务器时,它们会进行检查以确保您的TLS/SSL证书与地址栏中的主机名相匹配。
浏览器有三种方法来找到匹配项:
- 主机名(在地址栏中)与证书的使用者中的公用名完全匹配。
- 主机名与通配符公用名匹配。例如,www.example.com与公用名*.example.com相匹配。
- 主机名列于使用者可选名称字段。
最常见的TLS/SSL名称匹配形式是TLS/SSL客户端将其连接的服务器名称与服务器证书中的公用名进行比较。可以肯定的是,所有TLS客户端都会支持精确的公用名匹配。
如果TLS证书具有使用者可选名称(SAN)字段,那么TLS客户端应当忽略“公用名”值,并在SAN列表中查找匹配项。这就是为什么DigiCert总是在我们的证书中重复公用名作为首个SAN的原因。
哪些TLS/SSL客户端支持使用者可选名称?
大多数移动设备支持使用者可选名称,大多数移动设备支持通配符证书,但所有设备都支持精确的公用名匹配。
Internet Explorer、Firefox、Opera、Safari和Netscape:自2003年以来,上述所有浏览器都支持使用者可选名称。实际上自Windows 98起Internet Explorer就支持使用者可选名称。
Micrsoft Edge:微软最新的浏览器支持使用者可选名称。
Windows手机:支持使用者可选名称和通配符匹配。
较新款的Palm Treo:这些设备使用WM5,但旧款设备运行PalmOS并使用VersaMail for ActiveSync。旧款Treos不支持使用者可选名称匹配。
运行Symbian操作系统的较新款的智能手机:9.2及更高版本的Symbian操作系统支持使用者可选名称。
运行Symbian操作系统的旧款智能手机:Symbian OS 9.1及更早版本不支持使用者可选名称匹配。这似乎在Symbian OS 9.2(S60第3版,功能包1)中得到了解决。
旧款Palm Treo:这些设备运行PalmOS并使用VersaMail for ActiveSync。这些旧款Treo不支持使用者可选名称匹配。
由于并非所有移动设备都支持使用者可选名称字段,因此最安全的做法是将您的公用名设置为大多数移动设备将使用的名称。
