证书类型与覆盖能力
多域名SSL证书通过SAN扩展技术实现多域名绑定,其覆盖能力因证书类型呈现显著差异:
- 标准多域名证书:默认支持3-5个域名,可通过付费扩展至250个独立域名
- 通配符证书:单张证书保护主域名及其无限一级子域名(如*.example.com)
- 混合型证书:支持绑定多个主域名,每个主域名可扩展通配符子域名
技术实现原理
证书容量上限由SAN(Subject Alternative Name)扩展字段决定,该技术标准允许在单个证书中注册多个域名、子域名和IP地址。现代CA机构通过优化证书编码格式,已将单个证书的域名容量提升至250个,部分供应商通过定制方案可支持999个域名。
容量影响因素
- 证书颁发机构政策差异(如Sectigo支持250个,其他CA可能不同)
- 数字证书价格梯度(每增加域名需额外付费)
- 浏览器兼容性限制(旧版浏览器最多支持100个SAN条目)
最佳实践建议
建议采用分级部署策略:核心业务域名使用独立证书,次级服务采用多域名证书。具体配置建议:
| 域名数量 | 推荐方案 |
|---|---|
| ≤5个 | 标准多域名证书 |
| 5-50个 | SAN扩展型证书 |
| 50+个 | 混合部署方案 |
当前技术标准下,单张多域名SSL证书最高可覆盖250个独立域名,采用通配符模式则可实现无限子域名保护。实际部署需综合考量成本效益、运维复杂度及安全策略,建议优先选择支持SAN扩展的证书类型以满足弹性需求。
