什么是跨级的二级子域名

什么是跨级的二级子域名？

二级子域名（Second-level Subdomain）是指在主域名（根域）之上构建的第二层子域名结构。它并不是“跨级”的概念，而是基于域名系统（DNS）层级结构中的一个标准术语。

域名层级结构解析

一个完整的域名由多个部分组成，从右到左依次为：

• TLD（Top-Level Domain，顶级域名）：如 .com、.cn、.net 等
• 根域 / 二级域（Second-Level Domain）：如 topssl.cn 中的 topssl
• 一级子域名（Third-Level Domain）：如 www.topssl.cn 中的 www
• 二级子域名（Fourth-Level Domain）：如 dev.www.topssl.cn 中的 dev

示例说明

以域名 mail.blog.topssl.cn 为例：

• .cn：顶级域名（TLD）
• topssl.cn：根域（或称主域名、二级域）
• blog.topssl.cn：一级子域名
• mail.blog.topssl.cn：二级子域名（即“子域的子域”）

因此，二级子域名是建立在一**级子域名基础上的更深层次子域**，常用于开发、测试、区域划分等场景，例如：

• dev.blog.topssl.cn —— 开发环境
• us.shop.topssl.cn —— 美国站点商店
• api.mobile.company.com —— 移动端API接口

SSL证书对二级子域名的支持情况

需要注意的是，标准的通配符SSL证书（Wildcard SSL Certificate）仅能保护一个层级的子域名。例如：

• 证书为 *.blog.topssl.cn，可保护：
  • mail.blog.topssl.cn
  • dev.blog.topssl.cn
• 但不能通过 *.topssl.cn 来覆盖 blog.www.topssl.cn 这类深层结构

如果需要保护多级子域名，必须满足以下条件之一：

1. 为具体的二级子域申请独立的通配符证书（如 *.blog.topssl.cn）
2. 使用支持多域名和通配符组合的UCC/SAN 多域名证书，并手动添加所需子域
3. 部署私有PKI体系实现内部多级加密管理（适用于大型企业）

相关产品推荐

以下是适合不同规模企业保护多级子域名的SSL证书解决方案：

参考资料

• 通配符SSL证书详解，助力多级子域名安全
• SSL证书选型指南
• 通配符SSL证书是一种特殊的SSL证书，它使用通配符（*）来保护一个域名及其所有一级子域名