很多用户在选购泛解析SSL证书时都会问:一张通配符证书能保护多少个子域名?子域名数量有限制吗?本文将详细解答这些问题,帮您正确理解和使用泛解析证书。
一、核心结论:子域名数量无限制
答案很明确:泛解析SSL证书可以保护无限数量的同级子域名。
只要子域名符合通配符匹配规则(同一层级、同一主域名),数量没有任何限制。无论是10个、100个还是1000个子域名,都可以用同一张泛解析证书保护。
这也是泛解析证书相比"多域名证书"和"单独购买单域名证书"的最大优势——子域名越多,性价比越高。
二、通配符证书的匹配规则
泛解析证书虽然子域名数量不限,但有严格的匹配规则。理解这些规则才能正确使用证书。
规则1:仅匹配单层子域名
通配符(*)只能替换一个子域名层级,不能跨层匹配。
以申请 *.tongpeifu.cn 为例:
| 域名 | 是否匹配 | 说明 |
|---|---|---|
| www.tongpeifu.cn | 匹配 | 单层子域名 |
| mail.tongpeifu.cn | 匹配 | 单层子域名 |
| api.tongpeifu.cn | 匹配 | 单层子域名 |
| shop.tongpeifu.cn | 匹配 | 单层子域名 |
| test-api.tongpeifu.cn | 匹配 | 含连字符仍算单层 |
| a.b.tongpeifu.cn | 不匹配 | 二级子域名(两层) |
| tongpeifu.cn | 不匹配 | 主域名本身(零层) |
常见误区:很多人以为 *.domain.com 可以匹配 a.b.domain.com,实际上不行。二级子域名需要单独申请对应的泛解析证书(如 *.b.domain.com)。
规则2:星号只能在最左侧
通配符星号(*)只能出现在域名的最左侧(第一级),不能在中间或右侧。
- 正确:*.tongpeifu.cn
- 错误:www.*.tongpeifu.cn(星号在中间)
- 错误:tongpeifu.*.cn(星号在右侧)
- 错误:*.*.tongpeifu.cn(多个星号)
规则3:星号匹配非空字符串
通配符*必须匹配至少一个字符,即不能是空的。
- *.tongpeifu.cn ≠ tongpeifu.cn(星号不能为空)
如果需要同时保护主域名(tongpeifu.cn)和泛域名(*.tongpeifu.cn),有两种方案:
- 选择支持包含主域名的泛解析证书产品(部分CA默认包含)
- 申请多域名证书(MDC),将主域名和通配符域名都加入SAN
三、为什么有"数量限制"的说法?
有些用户听说泛解析证书有子域名数量限制,这通常是因为混淆了以下概念:
1. 混淆了"多域名证书"和"泛解析证书"
多域名证书(SAN/UCC)是有数量限制的,默认一般3-5个域名,增加域名需要额外付费。而泛解析证书是用通配符匹配无限子域名,没有数量限制。
| 类型 | 保护域名 | 数量限制 |
|---|---|---|
| 单域名证书 | 1个域名 | 1个 |
| 多域名证书 | 不同域名 | 有限制(一般3-100个,需付费增加) |
| 泛解析证书 | 同一主域名的同级子域名 | 无限制 |
| 多域名通配符证书 | 多个主域名及其子域名 | 主域名有限制,每主域名下子域名无限制 |
2. 混淆了"证书"和"许可证"
有些CDN、云服务商的SSL服务可能对使用数量有限制(如阿里云免费证书最多20张),但这是服务商的限制,不是证书本身的限制。CA机构签发的泛解析证书本身对子域名数量没有限制。
四、实际使用中的"软限制"
虽然证书本身对子域名数量没有限制,但实际使用中还有一些"软性限制"需要注意:
1. 私钥安全风险
所有子域名共用同一张证书和私钥。子域名越多,部署的服务器越多,私钥泄露的风险越大。如果一个子域名的服务器被攻破,私钥泄露,会影响所有子域名的安全。
建议:
- 重要系统(如支付、用户中心)考虑使用独立证书
- 不同环境(生产/测试/开发)使用不同证书
- 定期更换证书私钥
2. 管理复杂度
一张证书保护多个子域名意味着:
- 证书到期时所有子域名同时需要更新
- 证书出问题时影响范围大
- 需要在所有部署服务器上同步更新证书
建议:建立证书管理机制,设置到期提醒,使用自动化工具批量部署和更新证书。
3. 域名层级问题
如果业务涉及多层子域名(如 a.b.domain.com),单张泛解析证书无法覆盖,需要根据情况申请多张泛解析证书。
常见场景和方案:
- 只有www、mail等一级子域名 → 1张泛解析证书即可
- 有www.test.domain.com这样的二级子域名 → 需要 *.test.domain.com 单独的泛解析证书
- 有多个完全不同的主域名 → 选择多域名通配符证书
五、不同品牌泛解析证书的子域名数量对比
所有主流CA的泛解析证书对子域名数量都没有限制。以下是常见品牌的情况:
| 证书品牌 | 子域名数量 | 层级限制 | 是否含主域名 |
|---|---|---|---|
| Sectigo DV泛解析 | 无限 | 单层 | 部分版本包含 |
| Sectigo OV泛解析 | 无限 | 单层 | 部分版本包含 |
| GeoTrust OV泛解析 | 无限 | 单层 | 包含 |
| RapidSSL DV泛解析 | 无限 | 单层 | 包含 |
| Thawte OV泛解析 | 无限 | 单层 | 包含 |
| DigiCert OV泛解析 | 无限 | 单层 | 包含 |
六、泛解析证书选购建议
适合选泛解析证书的情况
- 子域名数量较多(3个以上)
- 未来会持续新增子域名
- 所有子域名属于同一主域名
- 子域名安全等级相近
- 希望降低证书管理成本
不建议选泛解析证书的情况
- 只有1-2个子域名(买单域名证书更划算)
- 有多个不同主域名(选多域名证书)
- 涉及极高安全等级的系统(建议独立证书)
- 多级子域名且层级复杂(可能需要组合方案)
七、常见疑问解答
Q:泛解析证书能保护多少个子域名?
A:理论上无限个,只要是同级子域名都可以。
Q:新增子域名需要重新申请证书吗?
A:不需要。只要服务器部署了泛解析证书,新增的同级子域名自动受保护。
Q:泛解析证书能保护多级子域名吗?
A:不能。*仅匹配单层子域名。如需要保护a.b.domain.com,需申请*.b.domain.com。
Q:泛解析证书能保护主域名吗?
A:部分CA的泛解析证书默认包含主域名,具体需咨询服务商。不包含的话需单独申请主域名证书。
Q:子域名太多会不会影响证书性能?
A:不会。证书文件大小与子域名数量无关,性能不会因子域名数量增加而下降。
总结
泛解析SSL证书对子域名数量没有任何限制,一张证书可以保护无限数量的同级子域名。但其匹配规则有限制——仅匹配单层子域名,星号只能在最左侧。
在选择泛解析证书时,应重点考虑域名层级结构、安全等级和管理便利性,而不是担心"数量够不够"。对于大多数企业来说,一张泛解析证书就能满足所有子域名的HTTPS需求。
如果您的域名结构比较复杂(既有多个主域名,又有多层子域名),可以咨询通配符网客服,我们会根据您的实际情况推荐最优的证书组合方案。
