保护多个域名

保护多个域名

可通过多域名 SSL 证书（SAN 证书，Subject Alternative Name）实现单张证书保护多个不同域名（含主域名、子域名、完全不同的域名），无需为每个域名单独申请和部署证书。该机制基于 X.509 标准中 subjectAltName 扩展字段（RFC 5280），被所有现代浏览器和客户端强制要求——自 2018 年起，Chrome、Firefox 等已弃用仅依赖 commonName 的验证方式。

例如：一张证书可同时覆盖 example.com、www.example.com、api.another-site.org、shop.cn 和 mail.example.net，只要这些域名均在证书的 SAN 列表中且通过 CA 的验证流程（如 DNS-01 或 HTTP-01）。主流 CA（如 Sectigo、Digicert、Lets Encrypt）均支持 SAN，其中 免费ssl证书（如 Let’s Encrypt）默认允许最多 100 个 SAN 条目，但单次签发上限通常为 100 域名/证书；商业证书则依型号支持 10–250 个不等（如 OV SSL证书 可配 100 个，EV SSL证书 通常限 10 个以保障严格验证）。

需要注意的情况

• 通配符（*.example.com）与 SAN 不互斥，但通配符仅匹配单级子域名，不能覆盖根域或跨域域名；若需同时保护 example.com 和 *.example.com，必须将二者同时列为 SAN 条目。
• SAN 域名需独立完成所有权验证（如每个域名均需解析指定 DNS 记录或放置验证文件），CA 不会因主域名已验证而自动信任其余 SAN 域名。
• 证书续期时，SAN 列表默认不继承，须显式重新提交全部域名；遗漏任一域名将导致其 HTTPS 中断，运维中需建立清单校验机制。
• 部分老旧系统（如 Windows Server 2003、Java 6u45 以下）对长 SAN 列表或国际化域名（IDN）兼容性差，生产环境应提前测试 TLS 握手与证书链解析行为。