多域名SSL 通配符SSL证书 ssl证书

什么是通配符SSL证书和SAN SSL证书?

更新时间:2025-09-11 来源:TopSSL 作者:TopSSL

什么是通配符SSL证书和SAN SSL证书?在本文中,我们将深入探讨通配符SSL证书和 SAN SSL 证书是什么、它们的优点和缺点、它们之间的区别,以及选择哪一种证书可以实现有效的安全。

保护多个域名和子域名不再需要不同的SSL证书。通配符SSL证书和SAN SSL证书均能够使用单个证书为多个域名、子域名等提供数据加密和安全保护。

Penetration-Testing-for-Insurance-Firms-Boost-Security-Compliance-Trust-1200x482.png

通配符 SSL 证书

通配符SSL证书(WC SSL 证书)可保护一个标有通配符 (*) 的主域名,以及与其同级的无限个子域名。无论您拥有20子域名,还是同一级拥有2000个子域名,您都可以使用一个WC证书保护所有子域名。

让我们花一点时间来了解子域的级别含义。

示例网站的主域名以星号标记,即 *tossl.cn。

第一级子域名将是这样的:

  • tossl.cn

二级子域名看起来是这样的:

  • mail.tossl.cn
  • shop.tossl.cn
  • blog.tossl.cn
  • dev.tossl.cn

第三级子域名将类似于 primary.login.tossl.cn……等等。

需要特别注意的是,通配符SSL证书将保护同一级别的多个子域名,而不是多个级别的子域名。因此,如果您拥有 tossl.cn 的通配符SSL证书,则您保护的是一级子域名。如果您添加新的子域名,例如 music.tossl.cn 或 news.tossl.cn,它们将自动添加到证书中并受到保护。

但是,二级和三级子域名将无法通过此通配符 SSL 证书进行保护。您必须购买另一个 通配符WC SSL 证书才能保护 shop.tossl.cn 或 mail.tossl.cn 下的子域名。

优势

  • 通配符 SSL 证书更 易于管理*,*** 因为域名及其无限子域名均在单个证书下受到保护。
  • 这是一个灵活的解决方案 ,因为只要证书在有效期内,同级的新子域名就会自动添加到证书中并立即受到保护。组织无需重新颁发证书来添加这些新的子域名。
  • 类似地,可以在必要时删除子域,而无需重新颁发证书。
  • WC SSL 证书是经济实惠、功能多样且实用的解决方案 ,可保护多个子域名。您无需花费大量资金购买多个证书。
  • 最好的通配符SSL还提供 SAN(主题备用名称)功能,使组织能够保护其他域名。

缺点

  • 通配符SSL证书仅在域验证和组织验证保证级别可用。
  • 扩展验证并非可选项。例如,如果攻击者创建了一个欺诈性子域名,它将自动添加到证书中,而无需任何验证或确认。攻击者可能会利用这一点对用户进行网络钓鱼攻击。
  • 它不保护多层次的子域。
  • 如果多方管理不同的子域,则需要在这些方之间共享私钥。这会带来未经授权的访问、数据泄露和其他攻击的风险。
  • 如果一个子域名被攻破,其他子域名被攻破的可能性就很高。

SAN SSL证书

SAN SSL 证书也称为多域SSL证书和统一通信证书 (UCC)。SAN(主体备用名称)SSL 可在单个 SSL 证书下保护多个完全限定域名 (FQDN) 和子域。

主域名称为通用名称 (CN),其他域名称为 SAN。SAN 可以是其他 FQDN、包含其他顶级域名 (TLD) 的域名、子域名或其他变体。

借助 SAN SSL 证书,组织可以保护以下各项:

  • www.tossl.cn
  • tossl.cncom
  • www.1tossl.cn.org
  • www.tossl.cn2.net
  • tossl.cn.net
  • tossl.co.uk
  • blog.tossl.co.uk
  • anything.tossl.co.uk.org
  • dev.tossl3.com
  • mail.tossl3.com
  • mail.tossl3.net

证书所有者在提交证书签名请求 (CSR) 时,需要明确声明其希望在多域名 SSL 证书下保护的 CN 和所有 SAN。如果组织希望稍后在证书中添加更多 SAN,则必须重新颁发证书;这些新的 SAN 不会自动添加到证书中。

优势

  • SAN SSL 提供 所有级别的验证 ——域、组织和扩展验证。
  • 多功能SAN SSL 证书使组织能够保护 Web 服务器主机名、IP 地址、私有主机名、支付网关和防火墙设备等。
  • 根据证书颁发机构和所选计划,您可能能够 在单个 SAN SSL 证书下保护 50 到 250 个额外的 SAN
  • 对于希望使用单个证书保护多个域名和子域名的组织来说, 它可以节省时间和成本。此外,它****更易于管理

缺点

  • 如果要在证书中添加新的子域名或域名,则需要重新颁发证书。这会给网站带来风险和停机时间。
  • 如果私钥被盗或证书过期,则所有域和子域都容易受到攻击和数据泄露。

通配符SSL与SAN SSL证书 – 选择哪一个?

尽管存在差异,SAN 和 Wildcard SSL 证书提供类似的加密强度(256 位)并且与大多数浏览器和设备兼容。

如果您想保护您的根域名及其子域名,那么使用通配符SSL证书是一个不错的选择。

另一方面,如果您拥有多个域名,并且希望进一步扩展保护,那么SAN证书将是您的理想选择。

How-to-Perform-Vulnerability-Remediation-after-a-Pentest-1200x482.png

有用
分享
无用
反馈
返回顶部
0 个回答
1011 次浏览
上一篇:SSL新手指南:ssl是什么以及它为何能让您的网站更安全 下一篇:如何为您的子域名选择正确的SSL证书?
继续阅读
更多关于常见问题
什么是DV SSL证书? 免费SSL证书常见问题大全 免费SSL证书对SEO有影响吗? 免费SSL证书安装教程 免费SSL证书适合哪些网站? 免费SSL证书有效期多久? 免费SSL证书有哪些?国内外主流免费证书对比 免费SSL证书安全吗? 免费SSL证书和付费SSL证书有什么区别? 免费SSL证书怎么申请?完整流程教程(新手一步搞定HTTPS)
工具
立即探索,帮您快速寻找适合您的SSL数字证书 申请SSL证书
免费SSL证书申请|HTTPS加密|企业级SSL证书服务 – TopSSL
提供免费与付费SSL证书申请
微信公众号二维码 扫一扫在线咨询
关注 TopSSL 公众号, RSS订阅SSL资讯与技术支持

2004-2026 ©北京传诚信  版权所有 | TopSSL提供免费SSL证书与企业级付费证书申请,快速实现HTTPS加密  北京市朝阳区鹏景阁大厦16层

京公网安备11010502031690号 京公网安备11010502031690号 | 京ICP备05019839号-13 网站经营企业工商营业执照 网站经营企业工商营业执照
技术协助:wo@topssl.cn 企业咨询:vip@topssl.cn