当你第一次申请SSL证书时，可能会被一个看似简单的问题难住：“填写域名时到底该写什么？” 填错了轻则证书无法使用，重则导致网站被浏览器标记为“不安全”。今天我们就用大白话+实际案例，帮你彻底弄懂SSL证书里的域名填写门道。

一、SSL证书和域名的关系：像“锁”和“钥匙”

想象SSL证书是给网站大门装的一把加密锁，而域名就是这把锁对应的钥匙。只有完全匹配的钥匙才能开锁。比如：

- 你为 `www.example.com` 申请了证书

- 但用户访问 `example.com`（不带www）

这时浏览器就会弹警告：“此连接非私有”（因为域名不匹配）。

二、常见的域名填写场景（附案例）

1. 单域名证书：一把钥匙开一扇门

- 填写规则：精确到子域名

- 例子：

你买的是 `shop.example.com` 的证书：

? 有效范围：仅 `shop.example.com`

? 不保护：`example.com` 或 `blog.example.com`

2. 通配符证书（*）：一把万能钥匙

- 填写规则：用 `*` 匹配同级所有子域

你填 `*.example.com`：

? 可保护：`shop.example.com`、`blog.example.com`、任意子域

? 不保护：`example.com`（顶级域名本身）或 `a.b.example.com`

3. 多域名证书（SAN）：一把钥匙配多个锁孔

- 填写规则：手动添加多个完全不同的域名

你的证书包含以下域名：

? `example.com`、`example.net`、`api.example.org`

三、新手最容易踩的坑（真实案例）

? 案例1：“我以为www和裸域名自动互通”

小王买了 `www.example.com` 的单域名证书，结果用户直接访问 `example.com` 时看到红色警告。

?? 解决方案：

1. 申请时同时勾选 `example.com`+`www.example.com`

2. 或者服务器配置301跳转（强制统一到带www或不带）

? 案例2：“通配符*写错位置”

小李填了 `*.*.example.com`，以为能覆盖三级子域，实际这是无效写法！

?? 正确姿势：

- `*.example.com` → 覆盖二级子域

- *无法直接覆盖三级及以上子域*

四、高级技巧：如何验证你的填写是否正确？

1. 用OpenSSL命令检查证书详情：

```bash

openssl x509 -in certificate.crt -text -noout

```

查看输出中的 `DNS:`字段是否包含你的目标域名。

2. 在线工具检测：

把证书上传到 [SSLShopper](https://www.sslshopper.com/) ，它会直观显示覆盖范围。

五、表格速查

| 类型 | SSL可保护的URL示例 | *不保护的URL示例 |

|-||-|

|单域名 | www.example.cn | example.cn |

|通配符 | *.demo.cn (含a.demo.cn) | demo.cn |

|多域名 | a.org + b.net + c.site | a.net |

下次申请SSL证书时，记得先问自己两个问题：

1?? “用户会通过哪些地址访问我的网站？”（全部列出来）

2?? “我选的证书类型能覆盖这些情况吗？”

搞明白这两点，就能远离90%的SSL配置问题！ ??

TAG:关于ssl证书填写域名是什么,ssl证书选择,ssl证书配置在代理还是域名上,域名申请ssl证书,域名开启ssl证书无法访问,ssl证书绑定域名还是ip