多域名SSL证书是什么?
多域名SSL证书(也称SAN证书)是一张证书可同时保护多个完全无关的域名或子域名,无需为每个域名单独申请和部署证书。它通过Subject Alternative Name(SAN)扩展字段承载多个域名,显著降低证书管理复杂度与运维成本。在企业级混合域名架构、Exchange邮件服务器、SaaS平台等场景中已成为事实标准。
该证书并非“万能替代品”——其签发受CA/B Forum Baseline Requirements严格约束:单张证书最多支持250个SAN条目,且所有域名必须通过独立域控制验证(DCV),不支持通配符与正则匹配。工程实践中,我们曾遇到客户误将*.api.example.com加入SAN列表导致签发失败,根源在于通配符仅适用于通配符证书类型。
多域名SSL证书的核心技术机制
TLS握手阶段的域名匹配逻辑
客户端发起TLS握手时,会将SNI(Server Name Indication)扩展字段发送至服务器。Web服务器依据SNI值从证书的SAN列表中精确匹配目标域名。若未命中,浏览器立即触发NET::ERR_CERT_COMMON_NAME_INVALID错误。这要求运维人员在Nginx/Apache配置中显式启用ssl_server_name指令,并确保证书链完整嵌入中间CA证书,否则OCSP Stapling可能失效。
证书链信任锚点与浏览器兼容性
多域名证书的信任链必须锚定在操作系统或浏览器预置的根证书库中。例如,锐安信sslTrus DV多域名证书使用国产SM2根证书,在Chrome 120+及Edge 122+中需手动导入根证书才能建立完整信任链;而Sectigo多域名证书采用DST Root CA X3交叉签名,天然兼容Windows XP SP3以上全系系统。真实案例:某政务云平台因未部署国密根证书,导致基层单位IE11访问提示“证书不受信任”,最终通过部署CFCA双证书方案解决。
TopSSL专家推荐的多域名SSL证书方案
| 需求场景 | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 中小微企业官网+移动端H5+小程序(3–5个域名) | DV级别、自动验证、价格敏感 | 推荐锐安信DV多域名SSL证书:540元/年保护3个域名,支持DNS/HTTP文件验证,国内OCSP响应时间<300ms,兼容微信小程序HTTPS校验 |
| 金融机构多业务系统(bank.com + trade.net + api.org) | EV级别、企业身份强背书、全球信任 | 选用华测EV多域名SSL证书:严格完成工商注册、办公地址、电话三重核验,Chrome地址栏显示绿色企业名称,支持中国区CRL/OCSP本地化服务 |
| 跨境电商SaaS平台(含多租户子域+独立品牌站) | OV级别、品牌可信、API安全审计合规 | 部署Sectigo OV多域名SSL证书:通过WebTrust审计,签发周期≤2小时,支持SAN动态增删,满足PCI DSS对API端点加密的强制要求 |
部署与运维关键经验
多域名证书续期时,必须重新提交全部SAN域名的验证请求——即使其中部分域名未变更。我们曾处理一起故障:客户仅更新主域名验证,遗漏了已停用但仍在SAN列表中的test.oldsite.com,导致证书签发后被Chrome标记为“不安全”。正确做法是:每次续期前运行DNS解析记录查询工具清理无效域名,再通过SSL证书链下载确认中间证书完整性。
对于使用CDN的用户,需特别注意:Cloudflare、阿里云CDN等平台仅支持上传单域名证书。此时应选择多域名SSL证书并关闭CDN的SSL终止功能,改由源站直连处理TLS,否则SAN列表将无法生效。
常见问题
Q:多域名证书能否保护www和非www版本? A:可以。www.example.com与example.com被视为两个独立域名,需同时填入SAN字段。TopSSL平台在申请时自动识别并添加,避免漏配。
Q:一张多域名证书最多能加多少个域名? A:CA/B Forum规定上限为250个,但实际部署中建议控制在50个以内。过多SAN条目会增大证书体积(超4KB),导致某些嵌入式设备TLS握手超时。
Q:多域名证书是否支持通配符? A:不支持。通配符(如*.api.example.com)与多域名属互斥类型。若需混合保护,应选择Sectigo多域名通配符SSL证书,其允许在SAN中混用exact域名与通配符模式。
京公网安备11010502031690号
网站经营企业工商营业执照
