应该选单域名 SSL 证书还是多域名 SSL 证书

应该选单域名 SSL 证书还是多域名 SSL 证书

选择取决于你实际需要保护的域名结构：若仅需加密一个主域名（如 example.com）及其标准子域名（如 www.example.com），DV SSL证书（单域名型）足够；若需同时保护多个完全独立的域名（如 example.com、blog.net、api.org），则必须使用多域名 SSL 证书（SAN 证书）。

多域名证书通过 Subject Alternative Name（SAN）扩展字段承载多个域名，所有域名共用同一张证书和私钥，在 Nginx/Apache 等服务器上只需一次部署即可生效。RFC 5280 明确允许 SAN 字段包含任意数量的 dNSName 条目，主流浏览器（Chrome、Firefox、Safari）均支持最多 100 个 SAN 条目（实际受 CA 策略限制，通常为 10–25 个）。单域名证书不支持添加额外域名，强行修改 CSR 或证书内容将导致签名失效或浏览器报错 NET::ERR_CERT_COMMON_NAME_INVALID。

在实际部署中，若业务存在跨域服务（如前端托管在 GitHub Pages、API 部署在云函数、管理后台独立部署），多域名证书可显著降低运维复杂度；但若所有服务统一在 example.com 及其子域名下（如 app.example.com、cdn.example.com），更推荐通配符 SSL 证书（*.example.com），它比多域名证书对子域名覆盖更自然，且通常价格更低。

需要注意的情况

• 单域名证书不保护任何其他域名，包括不带 www 的主域名与带 www 的版本互不兼容（除非 CA 显式将两者都列为 SAN）
• 多域名证书中每个域名均需通过独立域名验证（DNS 或 HTTP 方式），添加新域名时需重新验证，不能“热添加”
• 部分 CA 对多域名证书的最低订购数量设限（如至少 2 个域名起售），且第 3 个及以上域名可能产生阶梯计费
• 若涉及国密合规场景，需选用支持 SM2 算法的国密SSL证书，目前主流国密 CA（如华测国密CA、vTrus）均提供多域名国密证书选项