通配符证书为什么只能弄一个*.不能弄主域名-TopSSL

通配符证书为什么只能弄一个*.不能弄主域名

免费通配符 SSL 证书（如 *.example.com）在 RFC 6125 和 CA/Browser Forum Baseline Requirements 中明确定义：其通配符 * 仅匹配**单个最左侧标签（label）**，且不匹配空标签或父域。因此 *.example.com 可覆盖 www.example.com、api.example.com、mail.example.com，但**不覆盖 example.com（即裸域/主域名）**，因为该域名不含子标签，通配符无处“匹配”。

技术上，X.509 证书的 subjectAltName（SAN）字段中，通配符必须出现在最左位置且紧邻点号（如 DNS:*.example.com），而 DNS:example.com 是独立条目；CA 不允许将 * 解释为“零个或多个标签”，否则会破坏域名层级语义与安全边界（例如 *.com 将非法覆盖全网 .com 域名）。

在实际部署中，若需同时保护 example.com 和 *.example.com，标准做法是在同一张证书的 SAN 列表中**显式包含两个条目**：DNS:example.com 和 DNS:*.example.com。绝大多数商业 CA（如 Digicert、Sectigo、vTrus(天威诚信)）均支持此组合，且不额外收费。

需要注意收费的证书都是通配符里送主域名的。

需要注意的情况

部分老旧客户端（如 Android 4.2 以下、Java 6u45 以前）对含通配符和裸域的混合 SAN 证书存在兼容性问题，但现代浏览器与主流服务端（Nginx 1.11+、OpenSSL 1.0.2+）均已完善支持。

通配符不递归： *.example.com 不覆盖 a.b.example.com（二级子域需用 *.b.example.com 或显式列出）。

国密SSL证书（SM2）同样遵循 RFC 6125 的通配符规则，国密SSL证书也需单独添加裸域 SAN 条目。

SSL证书

网站部署SSL证书可实现网站HTTPS加密保护及身份的可信认证，防止传输数据的泄露或算改，提高网站可信度和品牌形象，利于SEO排名，为企业带来更多访问量，这也是网络安全法及PCI合规性的必备要求

前往SSL证书

个人专区：

单域名证书多域名证书通配符证书免费证书代码签名证书

仅支持绑定一个二级域名或者子域名，例如 topssl.cn、cloud.topssl.cn、dnspod.cloud.topssl.cn的其中之一如需要绑定同级的所有子域名，例如*.topssl.cn，请购买通配符证书

加密标准：

国际标准国密标准

支持 RSA或ECC 算法，适用谷歌、360、火狐等主流浏览器，日常业务需要SSL证书请选择这个加密标准

证书类型：

OV企业型 DV域名型 EV增强型

OV SSL证书（又称企业型SSL证书），是一种安全性更高的HTTPS加密解决方案，此SSL证书在域名验证的基础上增加了企业信息验证。在证书展示效果上，OV证书比DV证书增加了企业身份信息，方便企业网站建立可信度，是企业购买SSL证书的优先选择。一般情况下1-3天即可完成企业信息验证并获取SSL证书。

证书品牌：