什麼是多網域名稱(SAN)憑證?
在訂購或頒發新的TLS/SSL憑證時,主體別名欄位能讓您指定要由多網域名稱(SAN)憑證或延伸驗證多網域名稱憑證等單個TLS/SSL憑證所保護的其他主機名稱(即網站、IP位址、一般名稱等)。
在1999年之前,主體別名擴充是X509憑證標準的一部分,但直到Microsoft Exchange Server 2007發佈後才被廣泛使用。此更改透過簡化伺服器設定因而很有幫助。現在,主體別名被廣泛用於需要跨不同的網域名稱和子網域名稱保護多個網站名稱的環境或平台。
主體別名(SAN)的用途是什麼?
主體別名(SAN)有三種主要的使用方式:
- 透過單個TLS/SSL憑證保護不同基底網域中的主機名稱:萬用字元憑證可保護整個網域中的所有一級子網域名稱,例如*.example.com。然而,萬用字元憑證不能同時保護www.example.com和www.example.net。
- 單個IP位址上的虛擬主機多TLS/SSL網站:在單台伺服器上託管多個啟用TLS/SSL的網站通常要求每個網站都有一個唯一的IP位址,但是具有主體別名的多網域名稱(SAN)憑證可以解決這個問題。Microsoft IIS和Apache都能使用多網域名稱(SAN)憑證虛擬主機HTTPS網站。
- 極大地簡化伺服器的TLS/SSL設定:使用多網域名稱(SAN)憑證可以節省您在伺服器上設定多個IP位址、將每個IP位址綁定到不同的憑證,以及嘗試將其拼湊在一起所耗費的精力和時間。
可以在哪兒看到主體別名發揮作用?
要檢視主體別名的示例,請在此頁面的網址列中,按一下瀏覽器中的掛鎖標示以檢查我們的TLS/SSL憑證。在憑證詳細訊息中,您會發現一個主體別名擴充,它列出了www.digicert.com/tw和digicert.com以及由我們的憑證所保護的一些其他SAN。由於我們的憑證中列出了digicert.com的名稱,因此如果您透過https://digicert.com(名稱中沒有“www”)造訪我們的網站,您的瀏覽器也不會發出警告。
瀏覽器如何使用TLS/SSL憑證中的主體別名欄位?
當瀏覽器使用HTTPS連線到伺服器時,它們會進行檢查以確保您的TLS/SSL憑證與網址列中的主機名稱相匹配。
瀏覽器有三種方法來找到匹配項:
- 主機名稱(在網址列中)與憑證的主體中的一般名稱完全匹配。
- 主機名稱與萬用字元一般名稱匹配。例如,www.example.com與一般名稱*.example.com相匹配。
- 主機名稱列於主體別名欄位。
最常見的TLS/SSL名稱匹配形式是TLS/SSL用户端將其連線的伺服器名稱與伺服器憑證中的一般名稱進行比較。可以肯定的是,所有TLS用户端都會支援精確的一般名稱匹配。
如果TLS憑證具有主體別名(SAN)欄位,那麼TLS用户端應當忽略“一般名稱”值,並在SAN清單中尋找匹配項。這就是為什麼DigiCert總是在我們的憑證中重複一般名稱作為首個SAN的原因。
哪些TLS/SSL用户端支援主體別名?
大多數行動装置支援主體別名,大多數行動装置支援萬用字元憑證,但所有装置都支援精確的一般名稱匹配。
Internet Explorer、Firefox、Opera、Safari和Netscape:自2003年以來,上述所有瀏覽器都支援主體別名。實際上自Windows 98起Internet Explorer就支援主體別名。
Micrsoft Edge:Microsoft最新的瀏覽器支援主體別名。
Windows手機:支援主體別名和萬用字元匹配。
較新款的Palm Treo:這些装置使用WM5,但舊款装置執行PalmOS並使用VersaMail for ActiveSync。舊款Treos不支援主體別名匹配。
執行Symbian作業系統的較新款的智慧手機:9.2及更高版本的Symbian作業系統支援主體別名。
執行Symbian作業系統的舊款智慧手機:Symbian OS 9.1及更早版本不支援主體別名匹配。這似乎在Symbian OS 9.2(S60第3版,功能包1)中得到了解決。
舊款Palm Treo:這些装置執行PalmOS並使用VersaMail for ActiveSync。這些舊款Treo不支援主體別名匹配。
由於並非所有行動装置都支援主體別名欄位,因此最安全的做法是將您的一般名稱設定為大多數行動装置將使用的名稱。