摘要：通配符SSL证书使用通配符(*)保护主域名及其所有一级子域名的单个证书，例如*.example.com。与为每个子域名购买单独的证书相比，这简化了管理并降低了成本。通配符证书提供强大的加密功能，SSL证书实际应用过程中需要保护好证书文件尤其是私钥的管理，如果发

通配符SSL证书使用通配符(*)保护主域名及其所有一级子域名的单个证书，例如*.example.com。与为每个子域名购买单独的证书相比，这简化了管理并降低了成本。通配符证书提供强大的加密功能，SSL证书实际应用过程中需要保护好证书文件尤其是私钥的管理，如果发现泄漏可以让SSL证书提供商重新签发。

主要特点

涵盖多个子域：它使用一个证书保护一个基本域（例如example.com）和无限数量的子域（例如blog.example.com……shop.example.com）mail.example.com。

简化管理：您只需管理和更新一个证书，而不需要管理和更新多个单独的证书。

成本效益：从长远来看，它更经济，特别是当您有许多子域名时，因为它避免了为每个子域名购买单独证书的成本。

强加密：与标准SSL证书一样，通配符证书使用256位加密来保护用户浏览器和您的网站之间交换的数据。

注意事项和潜在缺点

安全风险：一个主要的缺点是，如果证书的单个私钥被泄露，则该证书保护的所有子域都容易受到攻击，但可以对私钥进行安全管理或者重签SSL证书，由此解决泄漏问题。

单次有效期：如果您忘记更新通配符证书，您的所有子域都将无法访问，正如2018年EpicGames中断所证明的那样，需要让SSL证书设置到期提醒，避免过期导致的安全问题。

在多台服务器上安装：如果您的子域名位于不同的服务器上，则需要在每台服务器上安装相同的证书和私钥，这会增加暴露的风险。

何时选择通配符证书

对于需要保护单个域名的多个子域名的组织来说，通配符SSL证书是一个不错的选择，例如：

拥有一个主站点和多个特定服务子站点的企业，例如support.example.com或careers.example.com、blog.example.com具有单独或的博客或电子商务商店shop.example.com。一家经常添加新子域名并需要选择通配符SSL证书。

申请方法

国内可以让中国SSL证书提供商Gworg提供通配符证书，申请过程需要配合域名解析，域名解析一旦生效后，大约10分钟左右后就可以获得通配符SSL证书。

来源：海贼小鑫鑫