多域通配符 SSL 证书是专为允许用户使用单个 SSL 证书保护多个域和子域而创建的。
注意 #1:任何多域通配符 SSL 证书都应以非通配符域开始。这意味着,无论何时配置和申请多域通配符 SSL 证书,都需要为单个域(如:example.com)生成 CSR(证书签名请求),不含任何星号 “*”。 这是证书颁发机构的要求。 所有附加 SAN(第 2、3、4 个域)都可以是通配符域。
例如,默认情况下有 3 个 SAN(4 个域)的多域通配符 SSL 证书允许您保护以下内容的安全:
- 一个主域和多个通配符域:
- example.com – 包含在 CSR(证书签名请求)中
- *.example.com
- *.mysite.com
- *.abcxyz.com
- 一个主域和多个通配符域(包括一级和二级子域):
- example.com – 包含在 CSR(证书签名请求)中
- *.example.com
- *.mob.example.com
- *.mysite.com
- 多个域和多个通配符域(包括一级和二级子域):
- example.com – 包含在 CSR(证书签名请求)中
- *.example.com
- mysite.com
- *.mob.mysite.com
注释 #2:如果添加 SAN 项目(如 *.domain.com),您将保护其无限子域,但不能保护主域。 例如,如果要确保两个域及其所有子域的安全,则必须按以下格式配置 SSL:
- domain.com – 包含在 CSR(证书签名请求)中
- *.domain.com
- mysite.com
- *.mysite.com
您可以在服务器上添加子域,它们将自动被通配符 SSL 证书覆盖。 在添加子域时,无需每次都重新签发通配符 SSL 证书。 新添加的子域将自动由通配符 SSL 证书覆盖。