网络安全
通配符证书
别称: 通配符 TLS 证书
定义
主体名称使用星号通配某个域下任意单级子域名的 X.509 证书,例如 *.example.com。
通配符证书可以覆盖父域下任意数量的单级子域。它适合在同一证书与同一私钥下服务大量子域、多租户应用或动态命名。星号只能匹配单个 DNS 标签:*.example.com 可匹配 a.example.com,但不能匹配 a.b.example.com,也不包含裸域本身。其代价是私钥泄露时影响面更广(任何子域都可被伪造),生命周期管理更复杂,CA 通常要求 DNS-01 验证。对于敏感子域,建议使用独立证书、严格的密钥隔离和较短的有效期。
示例
- *.example.com 用于终止 blog.example.com、shop.example.com 和 api.example.com 的 TLS。
- SaaS 平台为所有租户子域签发同一张 *.tenants.example.com 通配符证书。
相关术语
X.509 证书
数字证书的标准结构,通过受信任 CA 的签名将公钥与某一身份绑定在一起。
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
HTTPS
HTTPS — definition coming soon.
证书颁发机构(CA)
可信第三方实体,负责颁发并签名数字证书,将公钥与已核验的域名或机构身份绑定在一起。
公钥基础设施(PKI)
由政策、软件、硬件和可信机构组成的体系,负责签发、分发、验证和吊销数字证书,将身份与公钥绑定。
扩展验证证书(EV)
在 CA 按统一规范对申请机构的法律身份、实地存在与申请权限进行严格审核后才会签发的 TLS 证书。