通配符SSL证书能保护所有子域名吗?怎么配置泛解析HTTPS

  • 服务器优惠
限时 腾讯云新春特惠 — 轻量2核2G4M 576元99元/年 立即领取 →

很多用户在部署网站 HTTPS 时会遇到子域名数量多、变动频繁的问题。这时候,通配符 SSL 证书就成为一种高效选择。但你是否清楚它到底能覆盖哪些子域名?又该如何正确配置泛解析与 HTTPS?

我们一起来看看通配符 SSL 证书的实际支持范围和部署方法。

通配符 SSL 证书支持的域名范围

通配符 SSL 证书(Wildcard SSL Certificate)使用 .example.com 这样的格式,其核心能力是保护一个主域名下的所有一级子域名。但要注意,它不支持跨级子域名

爆款 腾讯云服务器 · 热销配置
限时优惠 | 个人专享
1.7折
轻量 2核2G4M
50GB SSD | 300GB流量
576元/年
99元/年
2.2折
轻量 2核4G6M
70GB SSD | 600GB流量
900元/年
199元/年
2.5折
轻量 4核8G10M
120GB SSD | 1500GB流量
2520元/年
630元/年
海外
海外 2核2G30M
东京/新加坡 | 1TB流量
576元/年
99元/年
查看全部优惠配置 →

  • 支持的域名示例(以 .example.com 为例)
    • www.example.com
    • mail.example.com
    • api.example.com
    • shop.example.com
  • 不支持的域名示例
    • dev.api.example.com(三级子域名)
    • test.dev.example.com(三级及以上)
    • example.net(不同主域名)

这意味着,如果你需要保护 .api.example.com 这类二级子域名,必须单独申请一张新的通配符证书,例如 .api.example.com

通配符证书与泛解析的关系

“泛解析”是 DNS 层面的概念,指通过设置 .example.com 的 A 记录或 CNAME,将所有未明确指定的子域名指向某个 IP 或服务。而通配符 SSL 证书是 TLS/SSL 层面的加密机制。

两者可以配合使用,但泛解析本身不提供 HTTPS 加密,必须配合有效的 SSL 证书才能启用 HTTPS。

买1年送3个月 腾讯云服务器 · 超值年付
限时活动 | 数量有限
轻量 2核2G4M
个人专享 | 免费续3个月
576元/年
99元/年
轻量 2核4G5M
个人专享 | 免费续3个月
780元/年
188元/年
轻量 4核8G12M
个人专享 | 免费续3个月
2760元/年
880元/年
CVM 2核2G S5
个企同享 | 免费续3个月
846元/年
245元/年
CVM 2核4G S5
个企同享 | 免费续3个月
2196元/年
637元/年
CVM 4核8G S5
个企同享 | 免费续3个月
4776元/年
1256元/年
立即领取买1年送3个月优惠 →

  • 泛解析配置(DNS 示例):
    • 记录类型:A
    • 主机记录:
    • 记录值:192.0.2.1
  • 通配符 SSL 证书部署后,所有匹配 .example.com 的子域名访问 HTTPS 时将自动加密。

如何申请和部署通配符 SSL 证书

  1. 准备 CSR(证书签名请求)
    在服务器上生成私钥和 CSR 文件。以 OpenSSL 为例:

    openssl req -new -newkey rsa:2048 -nodes -keyout example_com.key -out example_com.csr

    在填写 Common Name(CN)时,必须输入 .example.com

  2. 提交证书申请
    将 CSR 提交给证书颁发机构(CA),并选择通配符类型。验证方式通常包括:

    • DNS 验证:添加 TXT 记录
    • 文件验证:上传指定文件到网站根目录

    DNS 验证更适用于通配符证书,因为不需要每个子域名都部署验证文件。

  3. 下载并安装证书
    审核通过后,下载证书文件(通常包括 .crt 和中间证书 .ca-bundle),然后根据 Web 服务器类型部署。

常见 Web 服务器配置示例

以下是 Nginx 和 Apache 的基本配置片段。

长期特惠 腾讯云服务器 · 3年/5年机特惠
低至2折 | 省钱首选
2折
轻量 2核2G4M
个人专享 | 约9.8元/月
1728元/3年
353元/3年
2折
轻量 2核4G6M
个人专享 | 约14.7元/月
2700元/3年
528元/3年
5年
CVM SA2 AMD
高性价比 | 约17.4元/月
3400元/5年
1044元/5年
5年
CVM S5 Intel
稳定计算 | 约21.2元/月
4230元/5年
1269元/5年
查看长期特惠详情 →

Nginx 配置

server {
    listen 443 ssl;
    server_name ~^..example.com$;

    ssl_certificate /path/to/example_com.crt;
    ssl_certificate_key /path/to/example_com.key;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;

    location / {
        root /var/www/;
        index index.;
    }
}

Apache 配置

<VirtualHost :443>
    ServerName example.com
    ServerAlias .example.com

    SSLEngine on
    SSLCertificateFile "/path/to/example_com.crt"
    SSLCertificateKeyFile "/path/to/example_com.key"
    SSLCertificateChainFile "/path/to/example_com.ca-bundle"

    DocumentRoot "/var/www/"
</VirtualHost>

注意:Apache 需启用 mod_ssl 模块,并确保 ServerAlias 包含通配符。

通配符证书 vs 多域名证书对比

特性 通配符 SSL 证书 多域名(SAN)SSL 证书
覆盖范围 一个主域名 + 无限一级子域名 多个不同主域名(如 example.com、shop.net)
是否支持三级子域名 ❌ 不支持 ✅ 可单独添加(如 dev.api.example.com)
管理复杂度 低(一个证书) 中(需管理多个域名条目)
适用场景 同一主域名下大量子域名 多个不相关的域名
泛解析兼容性 ✅ 完美匹配 ⚠️ 需为每个子域名单独配置

安全注意事项

  • 私钥安全至关重要:通配符证书的私钥一旦泄露,所有子域名都可能被冒用。建议:
    • 限制私钥文件权限(如 chmod 600
    • 不在多个服务器间共享同一私钥
    • 定期轮换证书(尤其在人员变动后)
  • 避免在高敏感系统使用 DV 通配符证书:如涉及支付、用户隐私等场景,建议选择 OV 类型,以增强身份可信度。

常见问题 FAQ

问题 解答
通配符证书能保护主域名 example.com 吗? 部分 CA 颁发的通配符证书会自动包含主域名,但并非全部。建议申请时确认是否包含,或手动添加主域名为 SAN(Subject Alternative Name)。
泛解析设置后,所有子域名都能用 HTTPS 吗? 只有在部署了有效的通配符 SSL 证书后,泛解析的子域名才能通过 HTTPS 访问。否则浏览器会提示证书不匹配或不安全。
能不能用一张证书保护 .example.com 和 .shop.example.com? 不能。通配符只匹配一级子域名。要保护 .shop.example.com,需单独申请 .shop.example.com 的通配符证书。
通配符证书支持 ECC 算法吗? 支持。在生成 CSR 时可选择 ECC 私钥(如 secp384r1),多数主流 CA 均提供 ECC 通配符证书选项。
证书到期后如何续期? 续期流程与新申请类似,通常可复用原私钥。建议提前 30 天操作,避免服务中断。

最新文章

更多相关推荐

推荐 腾讯云服务器 · 更多优惠配置
点击查看详情
轻量 2核2G4M
50GB SSD | 300GB流量
99元/年
轻量 2核4G6M
70GB SSD | 600GB流量
199元/年
海外 Linux 2核2G30M
东京/新加坡 | 1TB流量
99元/年
海外 Win 2核2G30M
东京/新加坡 | 1TB流量
99元/年
上云大礼包 1670元
代金券礼包
轻量服务器特惠
跨境电商服务器
查看全部优惠 | 领取专属礼包 →