证书类型选择与适用场景
多域名SSL证书(SAN/UCC证书)和通配符证书是两种主流解决方案。前者允许在单个证书中绑定多个完全独立的域名(例如example.com和blog.site.net),后者则适用于同一主域下的无限子域名(*.example.com)。
- 多域名证书优势:支持不同主域、灵活添加新域名、支持DV/OV/EV多种验证级别
- 通配符证书特点:自动覆盖未创建的子域名、管理成本更低
多域名SSL证书申请流程
通过证书颁发机构(CA)申请时需遵循标准流程:
- 生成包含所有域名的CSR请求文件
- 提交域名所有权验证(DNS解析或文件验证)
- 完成组织信息验证(仅OV/EV证书需要)
- 下载包含多个域名的证书文件
关键注意点:不同CA允许的域名数量上限不同,通常初始包含3-5个域名,后续可付费扩展。
服务器配置实践指南
以Nginx服务器为例,配置多域名证书需启用SNI扩展:
server {
listen 443 ssl;
server_name domain1.com;
ssl_certificate /path/multidomain.crt;
ssl_certificate_key /path/private.key;
server {
listen 443 ssl;
server_name domain2.net;
ssl_certificate /path/multidomain.crt;
ssl_certificate_key /path/private.key;
需确保服务器软件支持TLS 1.2+协议,并定期检查证书包含的所有域名有效性。
常见问题与最佳实践
域名数量限制:多数证书初始支持5个域名,超过需购买额外授权,年费约增加20%-30%。
混合部署方案:可将多域名证书与通配符证书组合使用,例如:
- 主证书:example.com + blog.site.net
- 通配符证书:*.example.com
建议每6个月检查一次证书覆盖域名清单,及时移除废弃域名以降低安全风险。
通过合理选择证书类型并遵循标准配置流程,企业可有效管理多个域名的HTTPS加密需求。定期审查证书覆盖范围和服务器配置,能够平衡安全性与运维效率。
