什么是SSL证书绑定域名？

当你在浏览器地址栏看到那个小锁图标时，就说明这个网站使用了SSL证书进行加密。简单来说，SSL证书就像是网站的"身份证"，它把网站的真实身份和加密密钥绑定在一起。而"绑定域名"就是指这个证书被授权用于保护哪些网站域名。

举个例子：假设你有一个电商网站`shop.example.com`和一个博客网站`blog.example.com`。如果你为这两个域名分别购买独立的SSL证书，那就要花两份钱。但如果你使用支持多域名的SSL证书，就可以用一个证书同时保护这两个网站。

常见的SSL证书类型及域名绑定数量

1. 单域名SSL证书（Single Domain SSL）

就像它的名字一样，这种证书只能保护一个完全限定的域名(FQDN)。

* 例子：你为`www.example.com`购买了单域名证书

* 能保护的：仅`www.example.com`

* 不能保护的：`example.com`、`shop.example.com`、`blog.example.com`

> 注意：有些供应商会把不带www的根域名(如example.com)和带www的(www.example.com)视为同一个主体，但这要看具体供应商政策。

2. 通配符SSL证书（Wildcard SSL）

这种证书使用星号(*)作为通配符，可以保护一个主域下的所有子域。

* 例子：你为`*.example.com`购买了通配符证书

* 能保护的：

- `www.example.com`

- `shop.example.com`

- `blog.example.com`

- `dev.test.example.com`

* 不能保护的：

- `example.com`（根域名）

- `otherdomain.com`

> 实际案例：某企业有多个业务系统分别部署在不同子域下(如oa.company.com、crm.company.com、erp.company.com)，使用通配符证书只需一次申请就能覆盖所有系统。

3. 多域名SSL证书（Multi-Domain SSL或SAN SSL）

也称为SAN(Subject Alternative Name)证书，可以在一个证书中保护多个完全不同的域名。

* 例子：你购买了一个支持3个域名的多域名SSL

- `example1.com`

- `example2.net`

- `shop.example3.org`

> 典型场景：一家公司同时运营多个品牌网站(如主站company.cn、英文站company-global.com、电商平台company-mall.cn)，使用多域名SSL既方便管理又节省成本。

4. Unified Communications Certificate (UCC)

这是微软推出的一种特殊的多域名SAN SSL，最初是为Exchange和Office Communications Server设计的。

SSL技术细节解析

在技术实现上，多域名的支持是通过X.509标准的"主题备用名称"(Subject Alternative Name, SAN)扩展实现的。当你查看一个HTTPS网站的证书详情时，在"详细信息"标签下就能看到SAN列表：

```

CN = www.maindomain.com

SAN:

DNS Name=www.maindomain2.net

DNS Name=mail.maindomain3.org

DNS Name=*.sub.maindomain4.edu

每个SAN条目都代表该证书可以验证的一个有效主机名。现代浏览器会根据用户实际访问的URL与SAN列表进行比对来判断是否信任该连接。

SSL绑定的常见问题与解决方案

Q1: "我的通配符为什么不能验证根域？"

这是常见误区之一。通配符只能匹配一级子域(`*.example.com→a.example.com`)或多级子域(`*.sub.example→a.sub.example`)但不能匹配根域(`examplecom`)本身。解决方案：

1. 申请时同时包含根域和通配符(`examplecom + *.examplecom`)

2. HTTP重定向将根域请求导向带www的子域

Q2: "为什么Chrome提示我的跨子站共享cookie不安全？"

当你在多个子站(`aexamplenet`, `bexamplenet`)间共享会话时，如果使用相同的通配符SSL：

```javascript

// ??不安全的设置

document.cookie = "sessionid=123; domain=.examplenet; Secure";

建议改为：

1. OAuth等标准协议实现跨站认证

2. CORS严格限制可信来源

3. CSP策略防止数据泄露

Q3: "如何检查当前服务器支持的SAN数量？"

Linux下可以使用OpenSSL命令：

```bash

openssl x509 -in certificate.crt -text -noout | grep -A1 "Subject Alternative Name"

Windows可以通过certmgr.msc查看属性中的"使用者可选名称"字段。

SEO优化建议

从搜索引擎优化角度考虑：

1. 避免过多301跳转：如果因为HTTPS配置不当导致多次重定向会影响爬虫效率

```

http:// → https:// → https://www → https://m.

2. 统一规范网址(Canonical URL)：确保所有变体指向单一HTTPS版本

3. HSTS预加载列表：对主站点提交HSTS预加载可提升安全评分

4. 混合内容警告处理：

```html

TLS最佳实践清单

根据OWASP TLS指南建议：

- [ ] SAN数量不超过50个（性能考虑）

- [ ] OCSP装订启用以减少握手延迟

- [ ] TLS1.2+协议强制启用（禁用TLS1.0/1）

- [ ] PFS(完美前向保密)密码套件优先配置

- [ ] HSTS头设置合理max-age时间(建议≥6个月)

- [ ] CSP策略限制不安全内联脚本

通过本文你应该已经了解不同类型的SSL对域名的支持情况。在实际业务中做出选择时需要考虑：

- IT基础设施复杂度

- DevOps自动化程度

- PKI管理成本

- PCI DSS等合规要求

记住没有放之四海皆准的方案，只有最适合当前业务阶段的选择。

TAG:ssl证书绑定几个域名,ssl证书绑定域名之后还能绑定ip么,ssl证书绑定域名要加端口吗,ssl证书绑定几个域名合适,ssl证书多域名