通配符證書

在計算機網絡中，通配符證書是一個可以被多個子域使用的公鑰證書。原則上通配符證書是為了服務使用超文本傳輸安全協議（SSL）的網站，但也有用於其他領域的例子。與一般的證書相比，通配符證書提供了更高的性價比以及更多的便利。^[1]

例子

頒發給 *.example.com, 的證書可以用於下列域名^[2]

payment.example.com
contact.example.com
login-secure.example.com
www.example.com

由於通配符證書只能覆蓋一級子域（*不匹配所有子域），該證書無法有效服務於下面的域名：

test.login.example.com

當裸域名被列入可選DNS名稱，該證書也可被用於裸域名（又稱根域） ^[3]

example.com

大多數數字證書認證機構都會在簽發通配符證書時自動包括裸域。

限制

僅支持匹配一級子域名^[4]

通配符證書不可能為擴展驗證證書。^[5]一種替代方法是在可用DNS名稱（SAN）中包含每個域名^[6]^[7]^[8]，這種方法的弊端是當有新的網站需要使用證書時就需要重新頒發一個證書。^[9]

通配符可以被用在多個域名的證書或者統一通信證書（UCC）中。^[10]通配符證書也有可選DNS名稱字段。例如 *.wikipedia.org 這個通配符證書包括了 *.m.wikimedia.org 這個可選DNS名稱。因此，它即可服務於 www.wikipedia.org，也可服務於 meta.m.wikimedia.org。^[11]

另見

公開金鑰認證

參考資料

[1]
Hendric, William. Wildcard SSL Certificate Explained. SSL Certificate Provider. 17 January 2008 [17 February 2015]. （原始內容存檔於2022-03-16）.
[2]
Hendric, William. Wildcard SSL Certificate Features. Comodo SSL. SSL Certificate Provider. 17 June 2008 [17 February 2015]. （原始內容存檔於2015-06-23）.
[3]
RFC 2595 - Using TLS with IMAP, POP3 and ACAP. Internet Engineering Task Force: 3. June 1999 [2014-12-15]. （原始內容存檔於2017-07-07）. For example, *.example.com would match a.example.com, foo.example.com, etc. but would not match example.com.
[4]
Wildcard SSL certificate limitation on QuovadisGlobal.com. [2016-03-09]. （原始內容存檔於2016-04-09）.
[5]
Guidelines For The Issuance And Management Of Extended Validation Certificates, Version 1.5.2 (PDF). CA/Browser Forum: 10. 2014-10-16 [2014-12-15]. （原始內容 (PDF)存檔於2021-03-08）. Wildcard certificates are not allowed for EV Certificates.
[6]
x509v3_config-Subject Alternative Name 網際網路檔案館的存檔，存檔日期2015-08-15.
[7]
The subjectAltName field
[8]
The SAN option is available for EV SSL Certificates on Symantec.com. [2016-03-09]. （原始內容存檔於2013-05-24）.
[9]
Need to be reissued whenever a new virtual server is added
[10]
Wildcard domains can be used within UCC on SSL.com. [2016-03-09]. （原始內容存檔於2015-06-03）.
[11]
SSLTools Certificate Lookup of Wikipedia.org's wildcard ssl certificate. [2016-03-09]. （原始內容存檔於2016-06-13）.

[1] [1]
Hendric, William. Wildcard SSL Certificate Explained. SSL Certificate Provider. 17 January 2008 [17 February 2015]. （原始內容存檔於2022-03-16）.

[2] [2]
Hendric, William. Wildcard SSL Certificate Features. Comodo SSL. SSL Certificate Provider. 17 June 2008 [17 February 2015]. （原始內容存檔於2015-06-23）.

[3] [3]
RFC 2595 - Using TLS with IMAP, POP3 and ACAP. Internet Engineering Task Force: 3. June 1999 [2014-12-15]. （原始內容存檔於2017-07-07）. For example, *.example.com would match a.example.com, foo.example.com, etc. but would not match example.com.

[4] [4]
Wildcard SSL certificate limitation on QuovadisGlobal.com. [2016-03-09]. （原始內容存檔於2016-04-09）.

[5] [5]
Guidelines For The Issuance And Management Of Extended Validation Certificates, Version 1.5.2 (PDF). CA/Browser Forum: 10. 2014-10-16 [2014-12-15]. （原始內容 (PDF)存檔於2021-03-08）. Wildcard certificates are not allowed for EV Certificates.

[6] [6]
x509v3_config-Subject Alternative Name 網際網路檔案館的存檔，存檔日期2015-08-15.

[7] [7]
The subjectAltName field

[8] [8]
The SAN option is available for EV SSL Certificates on Symantec.com. [2016-03-09]. （原始內容存檔於2013-05-24）.

[9] [9]
Need to be reissued whenever a new virtual server is added

[10] [10]
Wildcard domains can be used within UCC on SSL.com. [2016-03-09]. （原始內容存檔於2015-06-03）.

[11] [11]
SSLTools Certificate Lookup of Wikipedia.org's wildcard ssl certificate. [2016-03-09]. （原始內容存檔於2016-06-13）.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]