每個(gè)人都需要通過(guò)獲取公開(kāi)注冊(cè)的 SSL/TLS 證書(shū)來(lái)保護(hù)在線(xiàn)通信。除了在線(xiàn)交易的安全性之外，SSL證書(shū)還有幾個(gè)優(yōu)勢(shì)，例如品牌化、提高用戶(hù)域的信任級(jí)別、互操作性和端點(diǎn)之間通信的完整性，僅舉幾例。

但是，需要對(duì)SSL證書(shū)有更深入的了解，以便能夠從眾多可用選項(xiàng)中選擇正確的在線(xiàn)保護(hù)。在線(xiàn)安全是一個(gè)非常敏感的問(wèn)題，CA 安全委員會(huì) (CASC) 作為一個(gè)宣傳團(tuán)體致力于這項(xiàng)事業(yè)。在后續(xù)的段落中，您將循序漸進(jìn)地了解CASC推薦的方式。

第一步-域名注冊(cè)

公共網(wǎng)站通過(guò)獲得公眾信任的SSL證書(shū)來(lái)保護(hù)，該證書(shū)應(yīng)該首先注冊(cè)。域注冊(cè)對(duì)于域驗(yàn)證過(guò)程至關(guān)重要，以檢查域的所有權(quán)。您已經(jīng)能夠?yàn)槟木W(wǎng)站獲得公共域這一事實(shí)，將該網(wǎng)站建立為注冊(cè)網(wǎng)站。

未注冊(cè)域-那些未注冊(cè)的域與內(nèi)部服務(wù)器名稱(chēng)相關(guān)。它是屬于專(zhuān)用網(wǎng)絡(luò)的 IP 地址或域。這些可以是：

• 非公共域名的服務(wù)器名稱(chēng)或后綴之一
• 與公共域無(wú)關(guān)的主機(jī)名或NetBIOS 名稱(chēng)排序
• RFC 1918 范圍內(nèi)的IPV4 地址
• 屬于RFC 4193 范圍的IPV6 地址

應(yīng)該注意的是，證書(shū)頒發(fā)機(jī)構(gòu)不允許頒發(fā)公開(kāi)信任且包含保留 IP 或內(nèi)部服務(wù)器名稱(chēng)的SSL證書(shū)，原因很簡(jiǎn)單，因?yàn)樵S多公司可能具有相似的內(nèi)部服務(wù)器名稱(chēng)。因此，認(rèn)證機(jī)構(gòu)可能永遠(yuǎn)無(wú)法確定一家公司的所有權(quán)。

保護(hù)內(nèi)部服務(wù)器名稱(chēng) - 使用內(nèi)部服務(wù)器名稱(chēng)的內(nèi)部服務(wù)器之間的通信無(wú)法通過(guò)使用公開(kāi)信任的SSL證書(shū)來(lái)保護(hù)。這個(gè)問(wèn)題唯一可行的解??決方案是建立一個(gè)能夠頒發(fā)證書(shū)的內(nèi)部 CA。

這種安排可能需要大量資源，并且可能需要深入的技術(shù)專(zhuān)長(zhǎng)。很少有 CA 能夠?yàn)閮?nèi)部服務(wù)器名稱(chēng)頒發(fā)SSL證書(shū)。由于這些證書(shū)是從私有（非公共）根頒發(fā)的，因此它們不應(yīng)遵守公共證書(shū)的規(guī)定，并且可以包含保留的 IP 和內(nèi)部服務(wù)器名稱(chēng)，從而使您免于通過(guò)操作自己的 CA 來(lái)頒發(fā)自簽名證書(shū)的麻煩.

第二步-確定建議的信任級(jí)別

每個(gè)SSL證書(shū)都旨在確保會(huì)話(huà)安全并為網(wǎng)站處理的信息提供加密。然而，在瀏覽器中顯示和證書(shū)中包含的身份信息的范圍方面存在巨大差異。這些差異以信任級(jí)別為標(biāo)志，最高信任級(jí)別由擴(kuò)展有效性 (EV) 提供，然后依次是組織驗(yàn)證 (OV) 和域驗(yàn)證 (DV)。

重要的問(wèn)題是分配給您的證書(shū)的信任級(jí)別是什么。為了確定這一點(diǎn)，需要找到要傳達(dá)給訪(fǎng)問(wèn)者的建議信任級(jí)別。您需要確定將您的品牌標(biāo)識(shí)與您的網(wǎng)絡(luò)形象聯(lián)系起來(lái)是否重要。這還包括您對(duì)在瀏覽器的地址欄中明確顯示您的品牌或僅包含在證書(shū)中的看法。讓我們檢查每個(gè)級(jí)別的信任以便更好地理解。

EV（擴(kuò)展驗(yàn)證）證書(shū) - 擴(kuò)展驗(yàn)證證書(shū)旨在包含與組織相關(guān)的數(shù)據(jù)。EV 證書(shū)僅頒發(fā)給滿(mǎn)足任何類(lèi)型SSL證書(shū)最嚴(yán)格和最嚴(yán)格要求的公司。帶有掛鎖的綠色地址欄突出顯示您公司的名稱(chēng)，除了可以驗(yàn)證您的組織的可信度之外，還可以為您的網(wǎng)站提供最高級(jí)別的可信度。這種清晰可見(jiàn)的安全性和可信度指示通過(guò)確定您的網(wǎng)站是合法和值得信賴(lài)的來(lái)增強(qiáng)您的網(wǎng)站訪(fǎng)問(wèn)者的信任。不用說(shuō)，這種可信度的證明肯定會(huì)贏得更多的轉(zhuǎn)化和更大的客戶(hù)信任。

OV（組織驗(yàn)證）證書(shū) - 盡管組織驗(yàn)證證書(shū)提供了企業(yè)的身份驗(yàn)證，但信息只能通過(guò)查看證書(shū)的詳細(xì)信息來(lái)訪(fǎng)問(wèn)。該信息不像擴(kuò)展驗(yàn)證證書(shū)那樣直接可見(jiàn)。

DV（域驗(yàn)證）證書(shū) - 如果您需要提供最基本的安全級(jí)別，即提供最少的業(yè)務(wù)身份信息，并僅建立對(duì)域的業(yè)務(wù)管理控制。這些在提供基于會(huì)話(huà)的安全性方面肯定是有效的，即使沒(méi)有關(guān)于公司的信息是可訪(fǎng)問(wèn)的。該證書(shū)不保證特定組織對(duì)域的所有權(quán)。

第三步-要保護(hù)的域的數(shù)量

單域保護(hù) - 如果您計(jì)劃保護(hù)單個(gè)域，那么標(biāo)準(zhǔn)證書(shū)就足夠了。但是，您可以根據(jù)自己的喜好和安全要求選擇信任級(jí)別。您還可以保護(hù)可以滿(mǎn)足不同地理區(qū)域需求的多個(gè)站點(diǎn)。這可以通過(guò)購(gòu)買(mǎi)多域證書(shū)或通配符來(lái)實(shí)現(xiàn)。一種更具成本效益且易于管理的替代方案是選擇完全合格的域名。它還在更新證書(shū)時(shí)提供了更大的便利。

保護(hù)多個(gè)域 - 借助多域證書(shū)可以輕松保護(hù)多個(gè)域，多域證書(shū)有助于在單個(gè)證書(shū)的幫助下保護(hù)多個(gè)域。該證書(shū)包括這些域作為主題備用名稱(chēng)，因此引用“SAN 證書(shū)”。

保護(hù)多個(gè)子域 - 子域證書(shū)由 EV、OV 或 DV 支持。通過(guò)使用通配符或多域證書(shū)，可以使用單個(gè)證書(shū)保護(hù)子域。證書(shū)的選擇取決于信任級(jí)別和要保護(hù)的子域總數(shù)。大量現(xiàn)有和計(jì)劃中的子域首選通配符證書(shū) ID。對(duì)于有限數(shù)量的子域，應(yīng)選擇多域證書(shū)。