數字證書和域名的對應關係

通常情況下，證書和域名關係是一對一的關係，證書和服務器也是一對一的關係。本文所討論的則是不通常的情況。
       證書頒發機構一般給證書分成三類，DV證書，OV證書以及EV證書。DV證書就是通常意義上給網站頒發的證書，審覈不是很嚴格，一般免費居多。其在證書的使用者字段中一般沒有O=這個字段或者O=對應的網站名稱。OV證書一般收費，因爲要給申請的企業做審覈，這樣會在證書的使用者字段中填寫O = BeiJing Baidu Netcom Science Technology Co., Ltd這樣的形式。EV更多的體現是在瀏覽器顯示上面，除了OV等協議體現的小綠鎖之外，還有在地址欄顯示綠色以及地址欄顯示企業的名稱等。
       業務的需求，出現了通配型證書和多域名證書。
       通配型證書指的是對domain.com下屬的所有子域名都適配的證書，例如A.domain.com以及B.domain.com都是其子域名，這類證書往往在申請的時候，填寫的是.domain.com這樣適配所有子域名的形式，因此可以在使用者這一欄目看到CN=.domain.com。
       多域名證書是指一個證書可以應用於多個不同的域名，和通配型不同的是，這裏面的多個不同域名往往強調不是其子域名，而是指domian.net,domain.com,domain.xyz等形式。Hao123.com和nuomi.com使用的是同一個證書，因此該證書的擴展中存在着使用者備用名稱這一項，這裏面列出了可能使用該證書的網站域名。爲什麼說僅僅是可能，因爲這裏面的域名僅僅是在申請證書是填寫的，可能後期由於某些原因，有的域名更換證書。例如雖然使用者備用名稱裏面包含了baifubao.com以及baidu.com，但是這二者和hao123.com使用的並不是同一個證書，這可以從證書的序列號看出。
       多域名證書，一般有如下三種情況：（1）同一企業共用同一證書，例如hao123.com和nuomi.com都是百度集團，使用者均是baidu.com。（2）虛擬主機使用一個證書，則該物理主機上面個的網站都使用該證書，目前租用雲服務的應用不在少數，使用者也會是同一個名字。例如使用阿里雲，七牛雲，亞馬遜雲都存在這個可能（3）使用SSL加速的網站，一般情況是在SSL加速設備上使用一個證書，使其和客戶端祕密通信。而SSL加速設備和企業網內部的各個域名服務器之間明文通信。而我對www.baidu.com抓包發現client hello請求域名爲ss1.bdstatic.com，因此初步確認百度有可能使用了類似的加速服務。
       值得指出的是無論通配型證書還是多域名證書，其只能用於一臺服務器上，如果需要用在多臺的服務器上面，是需要購買多服務器許可證的。這跟軟件許可證是一回事，但這個跟證書本身就沒多大關係了。