通配符 SSL证书

如何选择证书类型？

若您的网站主体为个人(即无企业营业执照)，只能申请免费或DV型数字证书。

对于一般企业，建议购买OV及以上类型的数字证书。金融.建议支付企业购买EV证书。

移动网站或接口调用，建议您使用OV及以上类型的证书。

（DigiCert该品牌的EV证书受到服务器IP的限制。如果您的一个域名有多个主机IP，建议您购买多张数字证书。)

如何选择证书品牌？

各数字证书品牌兼容性由强到弱的顺序：DigiCert>GeoTrust>CFCA。

建议您选择Digicert品牌作为移动网站或接口调用相关应用。

域名类型如何选择？

1.单域名:单域名是指一个证书只能保护一个主域名或一个子域名或一个公共网络IP。例如，www.ihuyi.com。

2.多域名：多域名是指同时绑定多个单域名的证书。这些域名可以是顶级域名或非顶级域名，例如demo.example.com.guide.developer.ihuyi.com等等。一个证书最多支持绑定250个域名。

3.通配符域名：通配符域名是指所有与主域名和次级域名相对应的子域名。例如*.ihuyi.com，默认赠送ihuyi.com，*.ihuyi.com可以匹配www.ihuyi.com(下一级子域名).example.ihuyi.com(下一级子域名)等，不支持匹配www.example.ihuyi.com。

例如，通配符域名只支持同级匹配*.ihuyi.com支持demo.ihuyi.com，但不支持learn.demo.ihuyi.com。假如你需要支持learn.demo.ihuyi.com通配符域名数字证书还需要购买一张*.demo.ihuyi.com通配符域名证书。

多通配符证书是指绑定多个通配符域名的证书。数字证书管理服务只支持申请单个通配符域名的证书，不支持申请多通配符域名的证书。您可以合并多个相同的品牌.生成多通配符证书的类型证书。具体操作请参见证书合并申请。

4.混合域名：混合域名证书是指包括单个域名和通配符域名的绑定域名的证书。例如，绑定域名是*.ihuyi.com.demo.example.com，称该证书为混合域名证书。

数字证书管理服务不支持混合域名证书的申请。您可以合并多个相同的品牌.类型证书，生成混合域名证书。具体操作请参见证书合并申请。

只有域名本身包含在通配符域名的数字证书中。例如：

*.ihuyi.com通配符域名数字证书包括ihuyi.com。

*.demo.ihuyi.com通配符域名数字证书不包括demo.ihuyi.com。

如果在特定域名中填写www域名，则包含主域名本身。例如：

www.ihuyi.com域名绑定的数字证书包括ihuyi.com。

www.demo.ihuyi.com域名绑定的数字证书不包括demo.ihuyi.com。

一旦颁发了您的数字证书，您将无法修改域名信息。

1：先下载安装Java

2：安装完毕后，根据实际路径找到keytool.exe，如我在这里的路径：C:\ProgramFiles(x86)\Java\jdk1.8.0_101\bin\keytool.exe

3：生成keystore。打开命令行。（cmd)，去keytool所在的路径，运行keytool-genkey-aliastomcat-stopePKCS12-keyalgRSA-2048年-keystored:\mykeystore\keystore.validity365-extsan=ip:192.168.100.132-dname"CN=garyyan,OU=mycompany,O=mycompany,L=gd,ST=gd,C=china“此命令中间只需输入密码即可生成keystore，假设密码为：123456

其中：

1)keystore可以理解为一个数据库，可以存储多组数据。每组数据主要包括以下两种数据：

a:密钥实体（Keyentity）——密钥（secretkey）或私钥和配对公钥(不对称加密)

b:可信的证书实体（trustedcertificateentries）——只包含公钥

2）-keystored:\mykeystore\keystore.p12，指定在d:\mykeystore(首先，手动创建此文件夹)，生成keystore:keystore.p12

3）-aliastomcat，指示keystore中唯一的别名：tomcat，因为keystore中可能还有其他的别名，比如：tomcat2

4)-storePKCS12指示密钥仓库类型为PKCS12

5）-keyalgRSA，指定加密算法，本例采用通用RAS加密算法

6)-keysize2048指定密钥的长度为2048

7)-validity3650指定证书有效期为3650天

8）-extsan=ip:请根据您的服务器IP地址设置192.168.100.132，如果不设置，客户端在访问时可能会报错

9）-dname“CN=garyyan,OU=mycompany,O=mycompany,L=gd,ST=gd,C=china”

其中：”CN=(姓名与姓氏)，OU=(组织单位名称)，O=(组织名称)，L=(城市或区域名称)，ST=(州或省名)，C=(单位两字母国家代码)”，我在测试过程中发现随便填就行了

4：导出公钥证书(主要用于客户端)：

运行命令：keytool-export-keystored:\mykeystore\keystore.p12-aliastomcat-filemycer.cer-storepass123466

其中：

1）-keystored:\mykeystore\keystore.P12是指上面的keystore文件

2)-aliastomcat是指定别名为tomcat的组

3）-filemycer.当前目录生成的cer指定为mycer.cer证书

4)-storepass123456是生成keystore所用的密码

可以，但自己制作的证书属于根证书；CA机构是通过了国际webtrust认证和电子签发法许可的。如果你想自己生成，常规情况下找到可用的证书，是可以直接使用的，但由于部分证书信息不正确或与部署证书的主机不匹配，浏览器会提示证书无效，但不影响使用。