通配符SSL证书是一种可保护主域名及其所有一级子域名的单张证书,例如 *.example.com 可同时覆盖 mail.example.com、shop.example.com 和 api.example.com。它不是万能方案——无法保护二级子域名(如 dev.mail.example.com)或不同根域名(如 example.net),且主流浏览器和CA/B论坛明确要求其必须使用SHA-2签名与密钥长度≥2048位(RSA)或≥256位(ECDSA)。
该段结束后换行
通配符仅在证书主题备用名称(SAN)中以单个星号(*)开头并紧接英文句点,如 DNS:*.topssl.cn。浏览器验证时执行精确左匹配,不支持通配符嵌套或多个通配符。若需覆盖 www.example.com 与 example.com,必须在SAN中显式列出两者——通配符本身不包含主域名。
根据BR 1.8.1条款,CA签发通配符证书前必须完成DNS CNAME或TXT记录验证(而非仅HTTP文件验证),且有效期不得超过39个月(自2025年9月起强制为39个月)。多数商业CA(如 Sectigo、Digicert)已停售2年期通配符产品。
通配符证书本身不含私钥,其公钥由中间CA签名,形成完整证书链:通配符证书 → 中间CA证书 → 根CA证书。浏览器仅信任预置在操作系统或浏览器中的根CA,因此部署时必须确保中间证书完整上传,否则将触发 NET::ERR_CERT_AUTHORITY_INVALID 错误。可使用 SSL证书链下载 工具自动补全缺失环节。
在TLS 1.2/1.3 握手期间,客户端解析服务器返回的证书,提取Subject Alternative Name字段,逐条比对请求Host头。若存在匹配的通配符条目(如 *.api.example.com 匹配 v1.api.example.com),则继续验证签名有效性与有效期;否则直接终止连接。此过程完全由客户端执行,服务端无干预能力。
| 维度 | 参考标准 | 工程师建议 |
|---|---|---|
| 适用场景 | 同一主域下动态子域较多(如SaaS多租户) | 优先选 通配符证书;若子域跨根域(如 client-a.com / client-b.com),改用 多域名证书 |
| 安全风险 | 私钥泄露将危及全部子域 | 生产环境严禁共享私钥;建议按业务线拆分为多个通配符证书(如 *.backend.example.com + *.frontend.example.com) |
| 兼容性 | 所有现代浏览器与Android 4.0+、iOS 5.0+ 支持 | 旧IoT设备(如部分Nginx 1.9.1以下版本)可能无法正确解析通配符SAN,建议升级或改用单域名证书 |
我们曾在一个电商客户项目中发现:其CDN节点未同步更新通配符证书中间链,导致约3.7%的iOS 12用户访问子域名时出现白屏。根本原因是苹果ATS策略对证书链完整性要求极高——该问题通过 安装教程 中的链补全步骤修复。
Q:通配符SSL证书能保护 www 和非www主域名吗?
A:不能。*.example.com 不包含 example.com 或 www.example.com,必须在证书SAN中单独添加这两项,或选用支持主域名自动包含的 通配符证书 产品。
Q:申请通配符SSL证书需要什么验证方式?
A:必须完成DNS验证(添加指定TXT或CNAME记录),不接受邮箱或HTTP文件验证。可使用 DNS解析记录查询 工具确认记录已全球生效。
Q:通配符证书支持国密SM2算法吗?
A:支持。国产 国密SSL证书 提供SM2+SM3+SM4组合的通配符型号,但仅适配国密浏览器插件及特定政务云环境,公网通用性受限。
加密您的网站,赢得客户信任!
2004-2026 ©北京传诚信 版权所有 | TopSSL提供免费 SSL 证书与企业级付费证书申请,快速实现 HTTPS 加密 北京市朝阳区鹏景阁大厦16层
京公网安备11010502031690号
网站经营企业工商营业执照
