很多企业在部署HTTPS时都会遇到一个问题：

如果网站有：

• www.topssl.cn
• api.topssl.cn
• mail.topssl.cn
• user.topssl.cn

这样的多个子域名，是否需要每个域名单独申请SSL证书？

实际上，这种场景更适合使用“通配符SSL证书（Wildcard SSL）”。

相比普通HTTPS证书，通配符SSL最大的特点是：“一张证书即可保护无限个同级子域名”。

很多用户第一次接触HTTPS时，并不清楚什么是SSL证书，以及不同SSL证书类型之间的区别。
而通配符SSL正是目前企业部署多子域名HTTPS最常见的方案之一。

本文将从：

• Wildcard SSL原理
• 通配符与多域名SSL区别
• 免费通配符证书申请
• DV/OV通配符区别
• Nginx与Apache部署
• 私钥安全
• 浏览器兼容性

多个角度，完整解析通配符SSL证书。

什么是通配符SSL证书？

通配符SSL证书（Wildcard SSL Certificate）是一种使用星号（*）作为通配符的HTTPS证书。

例如：

*.topssl.cn

表示：

该证书可以同时保护：

www.topssl.cn
api.topssl.cn
mail.topssl.cn
cdn.topssl.cn
shop.topssl.cn

等所有一级子域名。

这也是为什么很多大型企业、SaaS平台以及API系统都会选择通配符SSL。

如果你还不了解HTTPS加密机制，可以先阅读：什么是SSL证书。

通配符SSL证书的原理是什么？

Wildcard SSL的核心原理是：

利用“*”匹配同级子域名。

例如：

*.domain.com

等价于：

www.domain.com
api.domain.com
mail.domain.com

但需要注意：

它只能匹配“一层子域名”。

通配符证书支持二级子域名吗？

这是客户常常问的一个问题。

答案是：不支持。

例如：

*.topssl.cn

只能保护：

api.topssl.cn
mail.topssl.cn

但无法保护：

test.api.topssl.cn

因为：

*.topssl.cn

并不会包含：

*.api.topssl.cn

如果需要保护更深层级的子域名，则需要：

单独申请新的Wildcard证书。

通配符SSL证书可以保护多少个子域名？

理论上：

无限制。

例如：

*.topssl.cn

可以保护：

• www.topssl.cn
• api.topssl.cn
• mail.topssl.cn
• cdn.topssl.cn
• admin.topssl.cn

以及未来新增的所有一级子域名。

这也是通配符SSL最大的核心优势之一。

不同SSL证书类型的区别，使用方法不同，对于拥有大量业务系统的网站，相比单域名SSL，Wildcard SSL能极大降低HTTPS管理复杂度。

通配符SSL和多域名SSL（SAN）有什么区别？

这是企业最常搜索的对比问题之一。

很多用户容易混淆：

• Wildcard SSL
• SAN SSL（多域名SSL）

它们的核心区别如下：

简单理解：

• 通配符SSL适合“一个主域名下的大量子域名”
• 多域名SSL适合“多个不同独立域名”

如果网站既有多个品牌域名，又有大量子域名，该如何选购证书呢？

需要：“多域名 + 通配符混合SSL方案”。

通配符SSL证书有免费的吗？

有。

目前部分CA机构支持：

免费DV通配符SSL。

但通常要求：

DNS验证。

因为：

Wildcard SSL无法通过HTTP文件验证。

免费通配符SSL适合哪些场景？

适合：

• 测试环境
• 临时项目
• 开发环境
• 内网系统

如果只是短期HTTPS测试，也可以先使用：免费SSL证书

企业正式业务建议使用什么类型？

对于正式企业网站：

更推荐：OV通配符SSL。

因为：

OV证书会验证企业真实身份。

相比DV SSL：

更适合：

• 企业官网
• SaaS平台
• API接口
• 企业邮箱系统

DV、OV、EV通配符SSL有什么区别？

这里有一个很多用户不知道的重要知识点：EV SSL行业标准“不支持通配符”。

也就是说：

不存在：EV Wildcard SSL。

因此：

目前企业主流方案通常是：OV Wildcard SSL。

为什么通配符SSL比普通证书贵？

很多用户发现：

Wildcard SSL价格明显高于普通单域名SSL。

主要原因有：

覆盖范围更大

一张证书即可保护无限子域名。

运维效率更高

不需要：

重复申请多个证书。

后续扩展无需重新购买

新增子域名：

自动生效。

企业管理成本更低

尤其适合：

• 微服务架构
• Kubernetes
• API平台
• SaaS系统

通配符SSL的私钥可以在多台服务器使用吗？

可以。

这也是很多企业选择Wildcard SSL的重要原因。

例如：

• Web集群
• CDN节点
• 负载均衡
• Docker/K8s环境

都可以使用同一张证书。

但需要注意一个核心风险

由于：

所有子域名共享同一私钥。

因此：

如果私钥泄露：

整个域名体系都会受到影响。

建议：

• 不随意复制私钥
• 限制服务器权限
• 使用HSM
• 定期更换证书
• 使用独立部署环境

如何在Nginx部署通配符SSL证书？

第一步：上传证书

例如：

/ssl/fullchain.pem
/ssl/private.key

第二步：修改Nginx配置

ssl_certificate /ssl/fullchain.pem;
ssl_certificate_key /ssl/private.key;

第三步：重载Nginx

nginx -s reload

即可完成部署。

Apache部署方式

Apache同样支持Wildcard SSL。

只需配置：

SSLCertificateFile
SSLCertificateKeyFile

即可。

如果你还没有部署HTTPS，也可以参考：网站如何从HTTP更改为HTTPS以及怎么安装SSL证书来获取帮助。

添加新的子域名后，需要重新签发吗？

不需要。

例如：

原证书：

*.topssl.cn

后续新增：

new.topssl.cn

会自动支持HTTPS。

无需：

• 重新审核
• 重新申请
• 重新购买

这是Wildcard SSL最核心的优势之一。

通配符SSL安全吗？

从加密算法来说：

安全性与普通SSL完全一致。

例如：

• RSA
• ECC
• TLS1.2
• TLS1.3

加密强度没有区别。

真正的风险在于：

私钥集中化。

因为：

一个私钥控制所有子域名。

因此：

通配符SSL更考验企业的私钥管理能力。

如果私钥泄露怎么办？

应立即：

1. 吊销证书

避免被恶意使用。

2. 重新生成CSR与私钥

重新申请新证书。

3. 全站替换证书

确保旧证书彻底失效。

为什么某些旧浏览器提示“不安全”？

通常有几个原因：

1. 旧系统不支持TLS1.2+

例如：

Windows XP。

2. 证书链不完整

缺少：

Intermediate CA。

3. 老旧浏览器不支持ECC算法

会导致兼容性问题。

4. 本地系统根证书过旧

尤其是安卓低版本设备。

如果HTTPS报错怎么办？

可以继续查看：如何修复SSL证书错误

通配符SSL支持自动续订吗？

支持。（

目前：

大多数支持ACME协议的平台：

都支持Wildcard SSL自动续订。

尤其：

DNS API自动验证：

非常适合：

• 自动化运维
• DevOps
• Kubernetes

等环境。

注：TopSSL平台的自动化续订已经开始公测，可通过控制面板获取。

如何选择通配符SSL证书？

如果你的网站：

• 子域名很多
• 经常新增子站
• 有API系统
• 有SaaS架构
• 有微服务部署

那么：

Wildcard SSL通常是最适合的HTTPS方案。

总结

通配符SSL证书最大的价值，并不仅仅是“保护多个子域名”。

更重要的是：

它能帮助企业：

• 降低HTTPS运维成本
• 简化SSL管理
• 自动覆盖新增业务
• 提升部署效率
• 实现统一HTTPS安全体系

对于：

• 企业官网
• SaaS平台
• API系统
• 微服务架构
• Kubernetes环境

来说，Wildcard SSL已经成为目前最主流的HTTPS方案之一。

而如果网站需要同时保护多个不同域名，则更建议结合：多域名SSL（SAN证书）进行统一管理。

常见问题

什么是通配符SSL证书？

通配符SSL是一种使用 *.domain.com 形式保护多个子域名的HTTPS证书。

通配符SSL支持多少个子域名？

理论上无限制。

通配符SSL支持二级子域名吗？

不支持。*.domain.com 无法保护 a.b.domain.com。

通配符SSL和SAN证书有什么区别？

Wildcard SSL保护子域名；SAN SSL保护多个独立域名。

通配符SSL可以免费申请吗？

部分DV通配符SSL支持免费申请，但通常需要DNS验证。

新增子域名需要重新申请证书吗？

不需要。

通配符SSL安全吗？

加密强度与普通SSL相同，但私钥泄露影响范围更大。