什么是多域名SSL?
多域名SSL证书(也称SAN证书,Subject Alternative Name Certificate)是一种可在一个证书中绑定多个完全不相关域名的数字证书。它不是为子域名设计的通配符方案,而是面向业务复杂度更高的场景——例如企业同时运营官网、后台系统、营销站、API服务等不同主域,只需一张证书即可统一启用HTTPS加密,显著降低运维成本与证书管理风险。
从技术实现看,它通过X.509标准中的Subject Alternative Name扩展字段承载多个DNS名称,由CA在签发时严格校验每个域名的控制权。主流浏览器(Chrome/Firefox/Safari/Edge)及移动客户端均原生支持,无需额外配置即可完成全链验证。
多域名SSL的技术机制
证书结构与TLS握手兼容性
多域名SSL证书本质仍是标准X.509格式,其核心差异在于Certificate Extensions中包含多个DNS类型SAN条目。当客户端发起TLS握手时,服务器返回该完整证书,浏览器逐项比对SNI(Server Name Indication)请求的域名是否存在于SAN列表中。只要匹配任一项目,即视为域名验证通过,不依赖CN(Common Name)字段——这也是自2018年起RFC 6125强制要求的现代验证逻辑。
工程实践中需注意:Nginx/Apache等服务器必须启用SNI支持;若使用老旧负载均衡器(如F5 BIG-IP v11.x以下),需确认其固件版本支持多SAN解析,否则可能触发ERR_SSL_VERSION_OR_CIPHER_MISMATCH错误。
CA签发策略与浏览器信任链
所有合规CA(如Sectigo、锐安信、Geotrust)对多域名证书执行与单域名证书同等强度的域名控制验证(DCV)。DV类仅需DNS或HTTP文件验证;OV/EV则叠加企业身份核验。证书链结构无特殊性——仍由根CA→中间CA→终端证书构成,浏览器信任锚点完全一致。
真实部署经验:某政务云平台曾因误将*.gov.cn写入SAN导致证书被Chrome 112+拒绝(违反CA/B Forum BR 7.1.4.2.2关于通配符与精确域名混用的限制),最终通过拆分证书+重签解决。这印证了多域名证书对语法严谨性的高要求。
多域名SSL的工程实践
多域名证书并非“万能胶”——其价值高度依赖使用场景。当域名数量≤5且无频繁增删需求时,单域名证书集群反而更易审计;而面对Exchange Server、Skype for Business等微软生态组件,多域名证书是官方推荐方案(因其需同时覆盖autodiscover、owa、smtp等独立FQDN)。
| - | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 域名上限 | RFC 5280未设硬限;CA/B Forum允许最多250个SAN | 生产环境建议≤100个,避免证书体积超4KB影响HTTP/2帧传输效率 |
| 新增域名 | 需重新签发证书(非简单追加) | 选择支持免费重签的服务商(如锐安信sslTrus、Sectigo),避免隐性成本 |
| 浏览器兼容 | Android 4.0+/iOS 5.0+ 全面支持 | 旧版Windows Server 2008 R2需手动导入中间证书链,否则IE8提示“证书不受信任” |
常见问题
Q:多域名SSL证书和通配符SSL证书有什么区别?
A:多域名证书保护多个独立主域(如topssl.cn + example.com + api.net),通配符证书仅保护同一主域下的无限子域(如*.topssl.cn)。两者技术原理不同,不可互相替代。
Q:一张多域名SSL证书最多能保护多少个域名?
A:主流CA默认支持3–5个域名,最高可扩展至250个。但实际部署中需权衡证书大小、重签频率与安全边界——密钥泄露影响面随域名数线性扩大。
Q:微信小程序能用多域名SSL证书吗?
A:可以。微信校验HTTPS时仅检查证书有效性与域名匹配性,对多域名结构无特殊限制。但需确保所有被调用的API域名均列入SAN列表,否则触发wx.request TLS失败。
京公网安备11010502031690号
网站经营企业工商营业执照
