摘要：HTTPS协议作为保障数据传输安全的核心技术，能够有效防止信息泄露和中间人攻击。对于拥有多个二级域名的网站（如：电商平台、SaaS服务或企业官网），单独为每个子域名单独部署SSL证书不仅成本高昂，而且管理复杂。此时，通配符SSL证书（Wildcard SSL

HTTPS协议作为保障数据传输安全的核心技术，能够有效防止信息泄露和中间人攻击。对于拥有多个二级域名的网站（如：电商平台、SaaS服务或企业官网），单独为每个子域名单独部署SSL证书不仅成本高昂，而且管理复杂。此时，通配符SSL证书（Wildcard SSL Certificate）便成为理想的解决方案。

一、什么是二级域名HTTPS证书？

二级域名是主域名下的子域名，例如：blog.example.com 和 shop.example.com 都是 example.com 的二级域名。传统的单域名SSL证书仅能保护一个特定域名（如：example.com 或 shop.example.com），而通配符SSL证书通过使用“*”通配符（如 *.example.com），可以覆盖主域名下的所有二级域名。这种证书不仅能节省成本，还能简化证书管理流程，是多子域名网站的首选。

二、如何使用通配符SSL证书？

1. 选择并购买通配符SSL证书

通配符SSL证书需通过受信任的证书颁发机构（CA）购买，例如：沃通CA、DigiCert、GlobalSign 等。根据您的需求选择以下三种验证类型：

DV SSL证书（域名验证）：仅验证域名所有权，适合个人博客或小型网站，申请速度快。

OV SSL证书（组织验证）：需验证公司信息，适合企业官网或电商网站，提供更高的信任度。

EV SSL证书（扩展验证）：通过最严格的验证流程（包括法律和物理验证），适合银行、金融等对安全性要求极高的行业。

示例：若您的网站为api.example.com、admin.example.com 和 user.example.com，购买 *.example.com 的通配符SSL证书即可覆盖所有子域名。

2. 生成CSR和私钥文件

在购买证书前，需生成证书签名请求（CSR）和私钥文件。以 OpenSSL 工具为例，执行以下命令：

openssl req -new -newkey rsa:2048 -nodes -keyout example.key -out example.csr

此命令会生成私钥文件（example.key）和CSR文件（example.csr），提交给CA后即可申请证书。

3. 安装证书到服务器

CA审核通过后，您将获得证书文件（如 .crt 或 .pem）和中间证书（CA链文件）。根据服务器类型进行配置：

Nginx服务器：

将证书文件上传至服务器目录（如 /etc/nginx/ssl/），修改Nginx配置文件：

server {

listen 443 ssl;

server_name *.example.com;

ssl_certificate /etc/nginx/ssl/fullchain.pem;

ssl_certificate_key /etc/nginx/ssl/example.key;

ssl_protocols TLSv1.2 TLSv1.3;

}

重启Nginx服务以生效配置：

sudo systemctl restart nginx

Apache服务器：

在配置文件中添加以下内容：

ServerName *.example.com

SSLEngine on

SSLCertificateFile "/path/to/example.crt"

SSLCertificateKeyFile "/path/to/example.key"

SSLCertificateChainFile "/path/to/chain.crt"

重启Apache服务：

sudo systemctl restart apache2

4. 配置强制HTTPS重定向

为确保用户始终通过HTTPS访问，需配置HTTP到HTTPS的301重定向。在Nginx中添加以下代码：

server {

listen 80;

server_name *.example.com;

return 301 https://$host$request_uri;

}

对于Apache服务器，可在 .htaccess 文件中添加：

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

5. 验证证书有效性

完成安装后，访问任意子域名（如：https://blog.example.com），浏览器地址栏应显示绿色锁形图标。您也可以使用 SSL Labs 的在线工具检测证书配置是否正确。

三、通配符SSL证书的核心优势

1. 成本效益最大化

单域名SSL证书成本：若拥有10个子域名，需购买10张证书（假设每张500元，总成本5000元）。

通配符SSL证书成本：一张证书覆盖所有子域名（如：1500元/年），节省70%以上费用。

2. 简化证书管理

只需关注一张证书的到期时间，避免因遗漏导致服务中断。新增子域名时无需重新申请证书，直接配置即可生效。

3. 提升用户体验与SEO排名

HTTPS网站在浏览器中显示为“安全连接”，增强用户信任。Google等搜索引擎优先推荐HTTPS网站，有助于提升搜索排名。

4. 适应业务扩展需求

企业或平台可能随业务增长新增子域名（如：app.example.com、test.example.com），通配符SSL证书可灵活适配，无需额外操作。

四、常见问题解答

Q1: 通配符SSL证书是否支持三级域名？

A: 不支持。通配符SSL证书仅覆盖一级子域名（如 *.example.com），不包括二级子域名（如 a.b.example.com）。

Q2: 如何验证域名所有权？

A: CA通常提供三种验证方式：

DNS验证：在域名DNS记录中添加TXT或CNAME记录。文件验证：上传指定文件至网站根目录。邮件验证：通过域名管理员邮箱确认申请。

通配符SSL证书是多子域名网站的高效安全解决方案，既能降低采购和管理成本，又能通过全站HTTPS加密提升用户体验和搜索引擎排名。通过本文的步骤，您可以轻松完成证书的申请、安装和配置。

来源：沃通WoSign