什么是通配符证书?
通配符证书(Wildcard SSL Certificate)是一种支持主域名及其所有同级二级子域名的SSL证书,例如为 *.example.com 签发的证书可同时保护 www.example.com、mail.example.com、api.example.com 等任意数量的二级子域名,无需为每个子域名单独申请和部署证书。它在保障HTTPS加密的同时显著降低多子域名站点的运维复杂度与成本。
通配符证书的技术机制
证书主体字段(Subject)的特殊设计
通配符证书的核心在于其 Subject Common Name(CN)或 Subject Alternative Name(SAN) 中使用星号(*)作为通配符占位符。RFC 6125 明确规定:该符号仅匹配单层子域名,不覆盖跨级结构(如 *.example.com 不能保护 a.b.example.com)。现代浏览器与TLS栈严格遵循此规则,任何越界匹配都将触发证书验证失败。
TLS握手阶段的域名匹配逻辑
客户端发起TLS握手时,会将SNI(Server Name Indication)扩展字段发送至服务器。服务端依据SNI中携带的主机名,比对已加载证书的CN/SAN字段。若存在精确匹配或合法通配符匹配,则完成密钥交换;否则返回 ssl_error_bad_cert_domain 错误。该过程完全由OpenSSL、BoringSSL等底层库实现,与Web服务器配置强耦合。
证书链完整性要求更严苛
通配符证书本身不改变信任链结构,但因常用于高价值业务系统(如网银后台、API网关),其根证书和中间证书缺失风险被放大。实践中发现:约12%的通配符证书部署失败案例源于中间证书未随私钥一并安装,导致Chrome显示 NET::ERR_CERT_AUTHORITY_INVALID。建议始终通过 SSL证书链下载工具 获取完整链文件。
工程部署关键经验
通配符证书虽便捷,但存在明确限制:它无法覆盖不同根域(如 example.com 与 example.net)、不支持三级及以上子域名、且多数CA禁止将其用于EV级别验证。在IIS、Nginx等环境中启用时,必须确认服务器支持SNI,并为每个站点独立绑定证书——否则易出现“全站默认使用通配符证书”的典型故障,需手动勾选SNI选项并重启服务进程。
从2024年起,主流CA(包括Sectigo、锐安信、Digicert)对通配符证书签发增加额外审核项:要求提供DNS控制权证明及子域名用途说明。这意味着单纯为测试环境批量生成通配符证书的操作已不可行,企业需按实际业务范围申请。
| - | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 适用场景 | 单一主域下大量二级子域名(≤50个) | 优先选用 通配符SSL证书;超量建议改用多域名证书(SAN) |
| 安全边界 | RFC 6125 规定仅匹配单层子域名 | 禁用 *.com 或 *.*.example.com 类非法模式,避免兼容性灾难 |
| 有效期趋势 | CA/B Forum BR 2.8 要求≤398天 | 当前主流产品为1年期,2026年起将逐步过渡至≤47天(见 SSL证书有效期) |
常见问题
Q:通配符证书能保护 www 和不带 www 的主域名吗?
A:不能。*.example.com 不匹配 example.com,必须在SAN中显式添加 example.com 条目,或选用 多域名证书 同时覆盖两者。
Q:一张通配符证书可以在多台服务器上部署吗?
A:可以,但需确保私钥安全分发。注意部分CA(如锐安信国产根证书)对部署设备数有限制,详情参见 通配符证书可以安装在多台服务器吗?
Q:通配符证书是否支持国密算法(SM2)?
A:支持。华测、沃通、锐安信等国内CA均提供SM2通配符证书,适用于政务、金融等需国密合规场景,详见 国密SSL证书。
京公网安备11010502031690号
网站经营企业工商营业执照
