什么是通配符证书，如何工作？

通配符证书提供了灵活性和多样化的选择，帮助您的企业降低成本、提供高效加密，并促进可扩展性。本文将解释什么是通配符证书，它们如何运作，以及使用此类SSL证书的好处与潜在的安全风险。

复制文章链接

链接已复制

由Avast商业团队撰写
发布于2022年5月18日

什么是通配符证书？

通配符
是一种单一的SSL/TLS证书，可以为小型企业节省大量时间和成本。该证书在域名字段中包含一个通配符字符（*），可以保护主域的多个子域。

本文内容：

查看所有

本文内容：

通配符证书如何工作？

通配符SSL证书可以覆盖所有子域名，避免为每个子域名购买多个证书。例如，“*.google.com”的通配符证书可以用于保护“www.google.com”、
“mail.google.com”和“calendar.google.com”。

通配符证书主要分为两大类：

• 域名验证（DV）证书 可以在购买后快速交付，但您必须证明自己拥有该域名。

• 组织验证（OV）证书 仅适用于注册企业，您的公司信息将包含在证书中。但您必须经过审核流程才能获得批准。

通配符SSL证书包含一个私钥，该私钥在所有子域名之间共享。私钥在生成证书签名请求（CSR）时创建。如果使用多个服务器，您需要在安装证书时将私钥复制到每个服务器。

SSL和通配符SSL的区别是什么？

标准证书和通配符证书都提供了强大的
。然而，标准证书适用于单个域或子域，而通配符证书则覆盖多个子域，例如：

• mail.website.com

• login.website.com

与通配符证书最相近的证书是主题备用名称（SAN）证书或统一通信证书（UCC）。与通配符证书不同，UCC/SAN证书允许保护最多250个域和子域在一张SSL证书上（例如，mail.google.com和mail.google.co.uk）。

这些证书的一个限制是您在购买证书时必须列出所有域/子域。然而，您可以在任何阶段进行修改，而通配符证书则不受限制。

通配符SSL的优点

通配符SSL证书使保护多个子域变得简单，提高了企业的生产力和效率。例如，通配符证书提供了根据需要添加子域的灵活性，减少了管理花费的时间，允许您发展出更灵活的IT战略。

通配符SSL也比为每个子域单独购买证书更具成本效益。相反，一张证书可以用于无限数量的子域。

通配符证书的另一个优势是可以在多个服务器上使用。例如，如果您计划将电子邮件子域保留在一台服务器上，而将主公开网站放在另一台服务器上，您可以使用同一通配符SSL证书来做到这一点。

通配符SSL的缺点

使用通配符证书也有一些缺点，主要的缺点是安全性。尽管SSL证书提供了高水平的加密（使用HTTPS保护网站），但单个证书意味着多个子域只有一个访问点。这可能会带来
的风险，因为
可能会访问机密数据，传播有害
或操纵现有操作。

应该是选择证书时的重要考虑因素。如果使用多个服务器，这可能会对现有的安全措施带来额外压力。安装证书时需要将证书文件复制到服务器，然后将私钥从主服务器复制到所有其他服务器。由于这涉及到极其敏感和宝贵信息的物理移动，会开启其他攻击途径——与服务器的连接安全性，以及服务器维护的工作流程和允许的访问都会面临更大压力。

涉及的人员越多——从管理域的个人（IT负责人）到注册局（组织）——风险就越大。如果私钥被泄露，所有使用该通配符的子域也将受到影响，因为证书可能会安装在组织外的其他服务器上。

最后，通配符证书无法在所有验证级别使用。虽然在域名验证（DV）和组织验证（OV）级别可以自由使用，但在扩展验证（EV）级别则无法使用。
在这种情况下，部署单一证书或多域证书可能更为有利。

使用Avast商业产品提升安全性

Avast商业产品通过易于部署的
提供企业级安全性，为您的企业和客户提供最大保护。我们使用基于云的机器学习、终端保护和网络安全，从一个集成平台提供简化的安全解决方案。

相关资源推荐：

最新安全文章

什么是网络安全？](https://www.avast.com/c-b-what-is-
cybersecurity)

IT灾难恢复计划](https://www.avast.com/c-b-it-disaster-recover-plans)

业务连续性计划（BCP）：它是什么，如何制定](https://www.avast.com/c-b-what-is-a-business-
continuity-plan)

您可能还会喜欢…

提供企业级安全，助力您的商业与客户，尽在Avast商业中心。