在您的网站上安装安全套接字层 (SSL) 证书不再只是一种选择。它是保护您的站点以及确保数据通过HTTPS连接加密和提供服务的重要组成部分。但是,确定使用哪种类型的 SSL 证书可能很棘手,尤其是考虑到有多少种类。
如果您操作多个子域,则使用“通配符”SSL 证书可能最有意义。这使您可以使用单个证书保护所有子域,而不必购买和安装多个单独的证书。
在这篇文章中,我们将讨论什么是通配符SSL证书,以及何时以及为什么可以使用它。然后,我们将通过几个简单的步骤说明如何在您的站点上安装此类证书。
- 什么是通配符SSL证书(以及它们如何工作)
- 何时使用通配符SSL证书
- 从哪里获得通配符SSL证书
- 如何在WordPress站点上安装通配符SSL证书
什么是通配符SSL证书(以及它们如何工作)
通配符SSL提供了一种使用单个证书保护无限数量子域的方法。通配符 SSL 证书适用于为其提供的基本域名的任何子域。例如,如果您的域名是“yourwebsite.com”,则您的通配符证书还将保护“subsite.yourwebsite.com”和“subsite2.yourwebsite.com”。
在通配符SSL证书上,在您的域名前放置一个星号 (*) 作为占位符,可以解释为任何字符串。您还可以使用这种类型的证书来涵盖域的“www”和非“www”变体。
例如,我们的示例通配符证书可以使用的一些域和子域包括:
- www.yourwebsite.com
- yourwebsite.com
- news.yourwebsite.com
- blog.yourwebsite.com
- shop.yourwebsite.com
与单名称证书一样,通配符SSL证书通过一组密钥加密数据。这包括存储在数字证书上的公钥和保存在服务器上的私钥。但是,使用通配符证书,您可以复制私钥并将其上传到任意数量的服务器。
通配符SSL与多域SSL
请务必注意,通配符SSL与多域或主题备用名称 (SAN) SSL证书不同。多域SSL让您可以使用单个证书保护多个域和子域,包括来自不同主机名的域和子域。例如,您可以使用多域SSL来保护各种顶级域,例如:
- www.yourwebsite.com
- www.yourwebsiteblog.com
- www.yourwebsitenews.com
您还可以为这些站点中的每一个创建子域,并在单个证书下保护它们。但是,对于多域SSL证书,您必须在购买时定义子域名。如果您想稍后添加子域,则需要重新颁发证书。
何时使用通配符SSL证书
当您拥有单名称SSL证书时,向您的站点添加新的子域并为其颁发SSL证书并不一定是件大事。但是,如果您计划添加大量子域,这可能很快就会变成一个耗时且成本高昂的过程。
因此,使用通配符SSL的主要好处是它可以为您节省大量时间和金钱。它还提供了比其他选项更大的灵活性。
例如,与使用SAN SSL时不同,您在购买通配符SSL证书时无需定义子域。此外,每当您添加新的子域时,您都不必担心重新颁发证书。
当您有一个包含多个一级子域的单个域(或计划在将来添加它们)时,使用通配符SSL是有意义的。这种证书可以帮助您同时保护所有这些证书。
使用通配符SSL证书最有益的一些常见场景包括:
- 您是一名经常使用子域测试环境的Web开发人员。
- 您拥有一家企业,该企业针对组织的不同方面和实体(博客、商店等)使用单独的子域。
- 您只需要一个顶级域,但计划使用多个子域(现在或将来)。
几乎所有类型的网络浏览器和设备都支持通配符SSL证书,包括移动和台式计算机。此外,通配符SSL证书附带无限服务器许可政策和无限重新颁发政策。这意味着您可以根据需要在尽可能多的服务器上保护您的站点,并根据需要多次重新颁发证书。
从哪里获得通配符SSL证书
通配符SSL可用于域验证 (DV) 和组织验证 (OV)证书。前者使您能够保护您的域名和任意数量的子域,而后者使您可以验证您的业务以及您的域名和子域。
OV证书要求您提交商业文件,并且可能需要几天时间来处理和验证。或者,可以在几分钟内颁发DV证书。请务必注意,通配符SSL在扩展验证 (EV) 证书上不可用。
有多种证书颁发机构 (CA) 提供商提供通配符证书。一些流行的选项包括:
- Comodo提供SSL DV通配符和SSL OV通配符证书选项。价格从每年89美元到每年超过1,000美元不等,具体取决于计划和订阅类型。
- GeoTrust以每年688美元的价格提供True BusinessID通配符证书,以及每年745美元的QuickSSL® Premium通配符证书。
- Thawte提供SSL通配符证书,起价为每年149美元。
根据您的托管服务提供商和计划,您也可以通过它们购买通配符证书。例如,一些托管公司将与首选SSL合作伙伴合作,并提供通配符证书作为高级附加组件。
如何在WordPress站点上安装通配符SSL证书
如果您认为通配符SSL是您的最佳选择,并且您不想使用免费通配符SSL,那么下一步就是在您的WordPress网站上购买并安装它。安装SSL证书的过程可能略有不同,具体取决于您的主机和服务器类型。
例如,某些托管计划不支持通配符SSL证书,或者仅将它们作为高级选项提供。
同样,安装过程中涉及的步骤可能会有所不同,具体取决于Web主机的控制面板和界面。
无论如何,所涉及的步骤大致相同。让我们来看看如何通过四个简单的步骤在您的WordPress站点上安装通配符SSL证书!
第 1 步:购买您的通配符SSL证书
第一步是购买您的SSL证书。正如我们之前提到的,有多种SSL提供商可供选择,它们提供通配符证书。最佳解决方案在很大程度上取决于您的特定需求和预算。
当您购买SSL证书时,系统会要求您指明您的站点所在的服务器类型。您可以根据实际情况选择“Nginx”,“Apache”或“其他”。
第 2 步:生成证书签名请求 (CSR) 代码和私钥
下一步是生成CSR代码,这是SSL提供商创建和签署证书文件所必需的。要生成CSR代码和私钥,您可以在SSL.com上填写在线CSR和密钥生成器表格:
在线CSR和密钥生成器表单
我们建议填写以下字段:
- 通用名称(域名)
- 电子邮件地址
- 组织
- 城市/地区
- 州/县/地区
- 国家
由于您正在生成通配符SSL证书,因此对于“通用名称”字段,请确保在您的域名(“*.yourdomain.com”)之前添加星号:
CSR密钥生成器表单的“通用名称”字段
完成后,单击屏幕底部的生成按钮。将自动生成私钥文件和CSR:
从SSL.com生成的CSR和私钥
您可以选择下载私钥和复制CSR来保存此信息。您不仅在下一步需要它们,而且如果没有它们,您的SSL证书将无法使用。
然后,返回您的SSL提供商并上传您的CSR。这将重新生成您的SSL证书 ( .cert ) 文件。
第 3 步:将您的私钥和证书文件上传到您的服务器
下一步是将您的 CSR 和私钥文件上传到您的服务器。如果您是宝塔用户,请登录宝塔面板后台并导航到网站> Your Site > 设置。
宝塔面板网站管理
接下来,选择SSL选项,切换标签项为其他证书,填写您前面获取到的密钥和证书。
自定义SSL域
请注意,如果您还想添加中间证书,也可以这样做。根据您使用的SSL提供商,他们可能会通过电子邮件向您发送.crt文件和.ca-bundle文件。如果您没有中间证书或知道它是什么,您可以使用诸如What’s My Chain Cert之类的工具来生成它。
您可以使用记事本等文本编辑器打开这些文件。然后,您可以先将.crt文件的内容复制并粘贴到证书部分,然后再粘贴其下方的.ca-bundle文件的内容。完成后,单击“添加证书”按钮。
正如我们提到的,上传您的私钥和证书文件的过程会因您的主机而异。你也可以使用cPanel/WHM,在SSL/TLS下添加此信息。
第 4 步:确认通配符SSL证书安装成功
如果您仔细执行了上述步骤,您现在应该已经在您的WordPress站点上成功安装了通配符SSL证书。但是,为了确认一切正常,您可能需要使用About SSL中的SSL Checker工具:
AboutSSL.com SSL检查器工具
在此页面上,只需输入WordPress站点的URL,然后单击“检查”按钮。有关您的SSL证书的信息将自动显示在屏幕上。这将帮助您确认您的是否正确安装。
如果一切看起来不错,就是这样!您现在已经安装了通配符SSL证书。安装SSL证书后,我们建议在您站点的数据库上运行搜索和替换,以将HTTP URL替换为HTTPS。
小结
安装 SSL 证书是优化和保护网站的最重要步骤之一。但是,决定使用哪种类型的SSL证书可能会令人困惑。
正如我们在这篇文章中所讨论的,使用通配符SSL证书可以通过保护单个证书上无限数量的子域来帮助您节省时间和金钱。您可以通过四个简单的步骤在您的站点上安装一个:
- 如果您更喜欢使用自定义通配符SSL,请从Comodo或GeoTrust等CA购买自定义证书。
- 从SSL.com生成CSR和私有RSA密钥。
- 将您的通配符证书文件添加到您的服务器。
- 使用SSL Checker工具确认通配符SSL证书安装成功。