如何选择 SSL 证书？

购买证书时，需要根据您的需要选择对应的证书，本章节将介绍如何选择证书类型、

证书品牌、域名类型。

各证书之间的区别，请参考各证书之间的区别。

如何选择证书类型

购买SSL证书时，SSL证书管理服务支持的“证书类型”分为“OV”、“OV Pro”、

“EV”、“EV Pro”、“DV”、“DV（Basic）”6种类型。

● 对于一般企业，建议购买OV及以上类型的数字证书。对于金融、支付类企业，建 议购买EV型证书。

● 移动端网站或接口调用，建议您使用OV及以上类型的证书。

● 如果您的网站主体是个人（即没有企业营业执照），只能申请DV（Basic）基础版 数字证书。

如何选择证书品牌

目前支持的证书品牌及说明如下表所示：

表3-1 证书品牌说明 证书品牌 说明

DigiCert DigiCert（原Symantec）是全球最大、最权威的数字证书颁发机构。

全球著名的数字证书提供商，服务范围超过150多个国家，拥有超过 10万客户。

优势：安全、稳定、兼容性好。受银行、金融等行业青睐，适用于高 安全性要求的数字交易场景。

GeoTrust GeoTrust是全球第二大数字证书颁发机构，也是身份认证和信任认证 领域的领导者。公司服务于各大中小型企业，一直致力于用最低的价 格来为客户提供最好的服务。

优势：该品牌是DigiCert旗下的子品牌。安全、稳定、兼容性好、

HTTPS防护门槛低、性价比高。

GlobalSign GlobalSign成立于1996年，是全球最早的数字证书认证机构之一。它 是一家声誉卓著，备受信赖的CA中心和SSL数字证书提供商，并在全 球拥有众多合作伙伴。

优势：签发速度快、验证速度快。该品牌是华为云、大型电商企业都 在用的证书，全系标配的RSA+ECC算法，资源占用少。

惠赠活动（以域名www.a.com和根域名a.com为例进行说明）：

图3-1 品牌惠赠活动

如何选择域名类型

购买SSL证书时，需要根据您的域名情况，选择对应的域名类型。SSL证书管理服务支 持的“域名类型”有“单域名”、“多域名”和“泛域名”3种类型。

example.com、example.cn、test.com3个域名。

当“证书类型”为OV、OV Pro时，域名可包含多个单域名 和多个带通配符的（*）域名。如购买多域名类型证书，域名 数量为3的场景，可同时支持*.example.com、example.cn、

test.com3个域名。

● 有几个域名需要绑定在同一个SSL证书里，则需要选择对应 的域名数量。

● 由于各个证书品牌针对www型域名有不同的惠赠活动，具体 的详见如何选择证书品牌，导致多域名证书在绑定www型域 名时，有如下限制（以下以域名www.a.com和根域名a.com 为例进行说明）。

– DigiCert和GeoTrust品牌，为www.a.com或者a.com购买 的证书，该证书同时支持防护另一个域名，即如果您购买 的是这两个品牌的多域名证书，且同时需要防护

www.a.com和a.com，只需要且只能绑定其中一个域名即 可。

– GlobalSign品牌，为www.a.com购买的证书，该证书同 时支持防护a.com这个域名，但是为a.com购买的证书，

不支持防护www.a.com域名。即如果您购买的是这个品 牌的多域名证书，且同时需要防护www.a.com和a.com，

只需要绑定www.a.com域名即可。

● 域名数量范围为“2~250”，支持最多绑定250个域名。

域名数量须满足以下条件：

参数名称 参数说明

泛域名 ● 仅支持绑定1个泛域名。

● 泛域名一般格式带1个通配符“*”且以“*.”开头，例如，

*.huaweicloud.com、 *.example.huaweicloud.com等。

● 仅支持同级匹配，例如：绑定*.huaweicloud.com通配符域 名的数字证书，支持p1.huaweicloud.com，但不支持 p2.p1.huaweicloud.com。如果你需要支持

p2.p1.huaweicloud.com的通配符域名数字证书，则还需要 购买一张*.p1.huaweicloud.com的通配符域名证书。更多级 别匹配规则请参见表3-3。

如果您的域名在同一个级别，且未跨级别，均在一个级别，则 选择泛域名类型。

说明

如果您有≥1个泛域名和≥1个普通域名需要绑定在同一个SSL证书里，则可购买OV、OV Pro类型 的多域名证书。具体操作方法请参见多泛域名和混合域名证书的申请方法。

购买泛域名证书，需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名，

不能跨级匹配，具体示例如表3-3所示。

表3-3 泛域名匹配规则示例

域名 匹配的域名 不匹配的域名

*.huaweicloud.com test.huaweicloud.com、

yun.huaweicloud.com、

example.huaweicloud.co m等域名

abc.test.huaweicloud.co m、yun.test.huaweicloud.co m、example.test.huaweiclou d.com等域名

*.test.huaweicloud.com abc.test.huaweicloud.co m、yun.test.huaweicloud.co m、example.test.huaweiclou d.com等域名

abc.huaweicloud.com、

yun.huaweicloud.com、

example.huaweicloud.co m等域名

须知

● 泛域名的数字证书中，仅根域名包含域名主体本身。例如：

● *.huaweicloud.com的泛域名数字证书包含了huaweicloud.com，还可匹配同 级别的域名。无需再购买证书绑定huaweicloud.com。

● *.p1.huaweicloud.com的泛域名数字证书不包含p1.huaweicloud.com，只能匹 配同级别的域名。如果需要绑定p1.huaweicloud.com，则需要购买证书来进行 绑定。

● 具体的域名中如果填写的是www的三级域名，则包含了主域名本身。例如：

www.huaweicloud.com域名绑定的数字证书包含了huaweicloud.com，无需再购买 证书绑定huaweicloud.com。

● 您的数字证书一旦颁发后，将无法修改域名信息等。

具体选择示例如表3-4所示：

表3-4 选择域名类型示例

场景示例 域名情况示例 选择域名类型 选择域名数量

您仅有一个域

名 示例1：huaweicloud.com 单域名 单域名类型，

“域名数量”

固定为“1”

示例2：test.huaweicloud.com 单域名 示例3：p1.test.huaweicloud.com 单域名

您有多个域名 示例1：2个域名 huaweicloud.com、

p1.huawei.com

多域名 2

示例2：3个域名 huaweicloud.com、

p1.huawei.com和 p1.test.huaweicloud.cn

多域名 3

示例3：4个域名 huaweicloud.com、

test.huaweicloud.cn、

p1.test.huaweicloud.cn和 p1.test.yun.huaweicloud.com

多域名 4

您有多个域 名，且在同一 个级别

test.huaweicloud.com、

yun.huaweicloud.com、

example.huaweicloud.com等，

均在一个级别，在

*.huaweicloud.com的包含范围 内

泛域名 泛域名类型，

“域名数量”

固定为“1”