如何管理多个域名的SSL证书？

如何管理多个域名的SSL证书？

管理多个域名的 SSL 证书，核心是采用支持多域名（SAN，Subject Alternative Name）的证书类型，或通过自动化工具统一调度单域名证书。主流方案包括：使用 SSL证书 的多域名（Multi-Domain / UCC）类型、通配符证书（Wildcard）、或组合部署多个单域名证书并借助 ACME 自动化工具集中轮换。

多域名 SSL 证书（UCC）允许在一张证书中绑定最多 100+ 个不同主域或子域（如 example.com、www.example.com、api.another.com、shop.third.net），所有域名共享同一有效期与私钥，由一个 CSR 生成、一次签发、统一续期。该方式显著降低证书数量、减少配置点，适用于跨业务线但需统一信任锚的场景（如 SaaS 平台托管多个客户子域）。注意：部分 CA 对免费多域名证书有限制（如 Lets Encrypt 最多支持 100 个 SAN，但不支持通配符与多根域混合）。

若域名结构高度分散（如无共同父域），且安全隔离要求高（如不同团队/租户需独立密钥），则建议为每个主域或关键子域单独申请 DV SSL证书 或 OV SSL证书，并通过 ACME 客户端（如 Certbot、acme.sh）配合 DNS API 或 HTTP-01 挑战实现自动签发与 Nginx/Apache/OpenResty 的 reload 集成。此模式下证书生命周期完全可编程，适合 CI/CD 流水线与云原生环境。

需要注意的情况

• 多域名证书中任一域名验证失败，整张证书签发失败；任一域名到期或被吊销，整张证书即失效——因此需确保所有 SAN 域名持续可访问、DNS 解析稳定。
• 通配符证书（如 *.example.com）仅覆盖单级子域，无法保护 example.com 本身或二级子域（如 api.www.example.com），如需兼顾主域，必须显式将其列为 SAN。
• 浏览器对证书链长度和 OCSP Stapling 支持存在差异；多域名证书若混用不同 CA 根（如同时包含 Digicert 和 Sectigo 中间链），可能在旧客户端引发兼容性问题，建议优先选择单一可信根体系。
• 企业级场景中，如需组织身份验证与审计追溯，应选用 OV SSL证书 或 EV SSL证书，其证书主题包含经验证的组织信息，便于内部 PKI 管理策略落地。