在一张证书下保护多个主域名及其所有一级子域名。多域名通配符 SSL 证书起价 $150/年,DV 选项可在数分钟内签发,OV 选项需 1-2 个工作日。
什么是多域名通配符 SSL 证书
多域名通配符 SSL 证书将两种产品合二为一:多域名 (SAN) 证书和通配符证书。无需分别购买两者,也无需在基础设施中运行多张证书,一张签发的证书即可覆盖多个独立域名以及每个域名下的子域名。
其机制依赖于 SAN 字段。SAN,即 Subject Alternative Name,是 X.509 的一个扩展字段,列出单张证书所覆盖的每个域名。在该字段中,条目可以是普通域名、通配符条目,或两者的混合。
典型配置如下所示:
- example.com
- *.example.com
- *.brand.net
这张单一证书现在可以保护裸域名 example.com、其下的所有一级子域名(shop.example.com、blog.example.com 等),以及 brand.net 下的所有一级子域名。
此类别中的大多数产品最多支持 250 个 SAN,但部分品牌默认上限较低,另一些则更高。请注意,通配符字符 * 仅覆盖一个子域名层级。
多域名通配符 vs 通配符 vs 多域名 SAN
| 功能 | 通配符 SSL | 多域名 (SAN) SSL | 多域名通配符 SSL |
|---|---|---|---|
| 保护多个主域名 | 否 | 是 | 是 |
| 保护无限数量的一级子域名 | 是(一个域名) | 否 | 是(每个域名) |
| 可用验证级别 | DV、OV | DV、OV、EV | DV、OV |
| 典型 SAN 容量 | 1 个基础域名 + 通配符 | 最多 250 个 | 最多 250 个(因品牌而异) |
| 最适合 | 拥有多个子域名的单一域名 | 多个独立域名 | 多个域名,每个域名均有子域名 |
| SSL Dragon 起始价格 | 查看通配符类别 | 查看多域名类别 | 起价 $150/年 |
三者之间的选择取决于您的域名结构:
- 运营一个拥有多个子域名的网站?通配符证书即可满足需求。
- 拥有多个独立网站,无需考虑子域名结构?多域名 (SAN) 证书更经济、更简便。
- 一旦您同时拥有多个网站以及每个网站下的子域名,多域名通配符是唯一能在一张证书中同时覆盖两种模式的产品,这也是拥有多品牌或托管客户域名组合的买家最终选择它的原因。
验证级别:DV 与 OV(以及为何 EV 不可用)
多域名通配符证书在两个验证级别下签发:域名验证 (Domain Validation) 和 组织验证 (Organization Validation)。在签发证书之前,每种方式对申请者的验证内容各不相同。
- DV 仅验证申请者是否控制所列域名。
验证通过以下三种方式之一进行(电子邮件、DNS 记录或 HTTP 文件检查),证书可在数分钟内签发。个人网站和开发/测试环境适合选择此级别,内部工具和 SaaS 平台也同样适用,因为这些场景更注重速度而非显示的组织身份。 - OV 通过官方记录验证申请企业:
包括企业注册信息、注册地址,以及向已验证电话号码的回拨确认。签发需要 1-2 个工作日。经验证的企业名称将显示在证书详情中,买家、安全团队(以及大型交易中的采购审核人员)均可查看。电子商务网站、受监管行业,以及任何证书身份声明具有商业价值的资产,均可从 OV 验证中获益。
扩展验证 (Extended Validation) 不适用于任何多域名通配符产品,无一例外。
CA/Browser Forum 的基准要求禁止在 EV 证书上使用通配符 SAN 条目,该规则适用于任何包含哪怕一个通配符条目的证书。自 EV 首次定义以来,这一规定从未改变。声称存在”EV 多域名通配符”的页面是错误的。如果您需要针对某个特定域名的 EV 证书,请单独购买一张 EV 单域名证书,与您的多域名通配符证书配合使用。
最后有一点值得直接说明:DV、OV 和 EV 的加密强度完全相同。三者在 TLS 握手期间均协商相同的 256 位对称加密。验证级别改变的是 CA 对申请者的验证内容,而非传输中被加密的数据。
47 天证书有效期及其对多域名买家的影响
2025 年 4 月 11 日,CA/Browser Forum 批准了 Ballot SC-081v3,这是一项分阶段计划,将所有公共 TLS 证书的最长有效期压缩至 47 天。该计划分三个阶段执行:
- 第一阶段 – 自 2026 年 3 月 15 日起已生效:公共 TLS 证书的最长有效期现为 200 天。
- 第二阶段 – 2027 年 3 月 15 日:上限降至 100 天。
- 第三阶段 – 2029 年 3 月 15 日:上限降至 47 天。
该规则适用于所有公共 TLS 证书、所有验证级别(DV、OV、EV)以及所有产品类型:通配符、多域名和多域名通配符均包含在内。
多域名通配符买家受到的冲击比单证书买家更大。此处的续签工作量更重,因为您需要重新证明 SAN 列表中每个域名的控制权,而不仅仅是一个。随着有效期上限不断降低,这一运营成本将成倍增加。到 2029 年,您大约每 6-7 周就需要执行一次续签周期。任何计划在多域名组合上进行多年运营的人,现在就应该考虑自动化,而不是等到 2029 年。
如果您已准备好实现自动化,请访问我们的 ACME 页面。有一点需要坦诚说明:市场上并非每款多域名通配符产品都同样适合自动化。具有简单域名控制检查的 DV 产品可以顺畅地实现自动化;而需要组织重新验证周期的 OV 产品则会增加摩擦,仅靠 ACME 无法消除这些障碍。
常见使用场景
SSL Dragon 提供来自四家证书颁发机构的 EV 证书。
- 多品牌企业域名组合
拥有多个品牌域名及其各自子域名的企业(brandA.com、*.brandA.com、brandB.net、*.brandB.net),可以用一张签发的证书替代四张或更多独立证书的购买。 - 拥有租户子域名的 SaaS 平台
当每位客户都拥有自定义子域名(如 customer1.app.com 和 customer2.app.com)时,对应用域名的通配符覆盖可处理无限数量的租户。剩余的 SAN 槽位则用于覆盖不同域名上的营销网站、状态页面和 API。 - 托管服务商和代理机构
在共享基础设施上管理多个品牌的客户域名,非常适合此产品。一张证书、一个续签周期、一个需要轮换的私钥。 - Microsoft Exchange 和通信环境
多域名通配符证书可作为统一通信证书 (UCC) 使用,这正是 Exchange 在需要将多个服务主机名(autodiscover、mail、webmail 等)表示在同一张证书上时所要求的。
我们提供的多域名通配符 SSL 证书
来自四家证书颁发机构的五款产品,分为 DV 和 OV 两个级别。上方的卡片显示了每款产品的验证方式、签发时间、默认 SAN 数量及价格。以下是卡片上未显示的内容:SAN 扩展上限、包含内容,以及选择某款产品而非其他产品的理由。
Sectigo PositiveSSL Multi-Domain Wildcard
默认套餐包含 4 个 SAN,结账时可扩展至 250 个。加密采用 256 位,基于 2048 位 RSA 密钥,同时支持 ECC。随附免费网站封印、无限次重签发及无限服务器授权。Comodo CA 于 2018 年更名为 Sectigo:根证书相同、信任级别相同,只是徽章上的名称不同。
GoGetSSL Multi-Domain Wildcard SSL
以本页最低价格提供,GoGetSSL 默认覆盖 3 个 SAN,可扩展至 250 个。包含内容:网站封印、免费重签发及服务器授权。该 CA 是最早推出此类别真正产品的机构之一,对于不需要经过验证的组织身份的买家而言,此产品仍是最经济实惠的入门选择。
GeoTrust True BusinessID Multi-Domain Wildcard
默认 3 个 SAN,可扩展至 250 个,证书详情中列有经验证的企业名称。该产品附带由 DigiCert(GeoTrust 的所有者)背书的大额质保。真正的差异化优势在于 GeoTrust 的 FLEX 功能:它允许您在同一张证书上混合使用通配符 SAN 条目和标准 SAN 条目,当您覆盖的域名并非每个都需要子域名保护时,这一功能非常实用。
Thawte SSL Webserver Multi-Domain Wildcard
与 GeoTrust 同属 OV 级别,默认 3 个 SAN,可扩展至 250 个。随附支持 18 种语言本地化的动态网站封印、无限服务器授权及无限次免费重签发。在此级别上选择 Thawte 还是 GeoTrust,通常取决于您的受众更认可哪个信任封印。Thawte 在部分受监管市场的品牌认知度更高,GeoTrust 则在其他市场更具优势。
购买前须知
- 所有列出的域名在证书中均公开可见。任何点击锁形图标并查看证书详情的人,都可以读取 SAN 列表中的每个域名。如果您不希望两个品牌被公开关联,请改用独立证书。
- 通配符 SAN 不会自动覆盖裸域名。SAN 条目 *.example.com 覆盖 mail.example.com 和 shop.example.com,但不覆盖 example.com 本身。如需保护裸域名,请将其作为独立的 SAN 条目添加。
- 标准通配符仅覆盖一个子域名层级。*.example.com 覆盖 mail.example.com,但不覆盖 dev.mail.example.com。如需保护更深层级,请将更深层的通配符作为独立的 SAN 条目添加,例如 *.mail.example.com。
- 重签发免费,但到期日期保持不变。在有效期内添加或删除 SAN 不会重置计时器;新证书继承原始到期日期。对于 DV 产品,修改 SAN 无需重新验证;对于 OV 产品,如果变更发生在有效期内,通常可以复用现有的组织验证结果。
常见问题
此页面上的大多数产品支持最多 250 个 SAN(1 个主域名 + 249 个附加域名)。默认套餐包含 3 或 4 个 SAN;您可以在结账时单独添加更多。少数 Sectigo OV 多域名通配符支持更高的上限;请查看具体产品页面了解确切的限制。
复制链接
是的,可以免费且无限次地通过重新签发进行。过期日期保持不变;重新签发不会延长有效期。对于 DV,您只需证明对任何新添加域名的控制权;对于 OV,组织验证通常可以在证书的有效期内重复使用,因此在第一次之后重新签发会更快完成。
复制链接
在大多数情况下,功能上没有区别。UCC(统一通信证书)是在 Microsoft Exchange 和 Communications Server 环境中使用的较旧术语。多域通配符证书可以作为 UCC 使用,并支持 Exchange 的自动发现、邮件和网络邮件主机名所需的相同 FQDN 灵活性。
复制链接
在上面的验证部分中已有说明。简短版本:CA/Browser Forum 的基线要求禁止在扩展验证证书上使用通配符 SAN 条目。这是行业范围内的规定,不是 SSL Dragon 的限制。需要在一个特定主机名上获得 EV 身份的购买者通常会并行运行两个证书——在旗舰主机名上使用 EV 单域证书,在其余的投资组合上使用多域通配符证书。
复制链接
是的。此页面上的每个产品都包含无限制的服务器许可。请注意,”无限制”是指安装权利,而非安全最佳实践。在多个服务器上分发相同的私钥会增加任何一台服务器被攻击时的影响范围。请根据您的部署规模采用适当的私钥轮换策略。
复制链接
现有证书在其签发的过期日期之前保持有效。在每个阶段截止日期之后签发的新证书必须符合新的有效期上限:现在为 200 天,从 2027 年 3 月起为 100 天,从 2029 年 3 月起为 47 天。在 47 天的有效期下,自动化成为实际需求;请参阅我们的 ACME 页面了解设置指南。
复制链接
使用我们的免费 CSR Generator 工具或在您的服务器上使用 OpenSSL 生成。通用名称 (CN) 必须是非通配符域名;将任何通配符条目 (*.domain.com) 列在 SAN 字段中,绝不要放在 CN 中。
复制链接
不确定您需要什么?
使用我们的 SSL Wizard 选择您的选项,我们将帮助您找到合适的 SSL 证书。
不确定您需要什么?
我们的客户和重要人物
额定值 4.8 5分由 1226 客户
Great selection of certificates with a clear definition of properties for each certificate makes it easy to choose the right one.
Easier and cheaper than going directly and ordering via the vendor, thank you for the information and the simple shopping experience.
Excellent customer service when I ordered the wrong cert! The support team then helped me get the correct cert and refunded me on the incorrect cert I bought! Very fast and a happy customer.