文档中心
SSL璇佷功濡備綍缁戝畾澶氫釜浜岀骇鍩熷悕锛熶竴绡囨枃绔犺閫忓鍩熷悕SSL閰嶇疆鎶€宸?txt
时间 : 2025-09-27 16:48:03浏览量 : 2
什么是多域名SSL证书?

当我们需要为多个二级域名(如shop.example.com、blog.example.com、api.example.com)配置HTTPS安全连接时,最经济高效的方式就是使用多域名SSL证书(也叫SAN证书)。这种证书就像一张"万能通行证",可以同时保护多个不同的域名地址。
想象一下你管理着一个电商平台:
- 主站:www.example.com
- 移动端:m.example.com
- 会员中心:account.example.com
- 支付网关:pay.example.com
如果为每个子域名单独购买SSL证书,不仅成本高昂,管理起来也非常麻烦。而一张多域名SSL证书就能解决所有问题!
多域名SSL vs 通配符SSL
很多朋友会问:"这和通配符证书(*.example.com)有什么区别?"这里我用餐厅来打个比方:
通配符证书就像一张"全店通用券"——可以用于任何以.example.com结尾的地址(如a.example.com、b.example.com),但不能用于其他主域(比如example.net)。
多域名SSL则像"指定餐券套餐"——你可以明确选择保护哪些特定地址,这些地址甚至可以跨不同主域:
- www.company.com
- shop.company.net
- blog.company.org
实际案例:某跨国企业需要保护以下资产:
1. 中国官网:china.company.com
2. 美国官网:usa.company.com
3. API服务:api.company.io
这种情况下就必须使用多域名SSL证书。
如何正确绑定多个二级域名?
第一步:选择合适的证书类型
购买时认准以下关键词:
- Multi-Domain SSL (多域名SSL)
- SAN Certificate (主题备用名称证书)
通常支持3-100个不等的域名绑定
技术提示:检查是否支持"Subject Alternative Name"扩展字段,这是实现多域名的核心技术。
第二步:生成CSR请求文件
使用OpenSSL命令生成包含主域名的请求文件:
```bash
openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr
```
填写信息时特别注意:
- Common Name (CN):填写最重要的主域名(如www.example.com)
- Organization字段必须真实准确,这是CA机构验证的重点
第三步:提交包含所有备用域名的申请
在向CA机构提交申请时,明确列出需要保护的所有二级域名:
示例列表:
1. www.example.com (主域名)
2. shop.example.com
3. blog.example.cn
4. api.example.net
专业建议:预留未来6个月可能新增的子域名位置。比如购买支持10个域名的版本,即使目前只用5个。
第四步:完成验证流程
根据证书类型不同,验证方式有差异:
1. DV SSL(基础型):只需验证域所有权,通常通过DNS解析验证
2. OV SSL(企业型):需提供营业执照等企业资质
3. EV SSL(增强型):最严格的身份核验流程
典型场景验证示例:
假设要保护support.company.com这个客服子站:
1. CA会发送验证邮件到admin@company.com或whois注册邮箱
2. 可能需要添加一条DNS TXT记录如:"ca-verification=123456"
3. OV/EV还需人工审核公司座机接听验证电话
第五步:安装配置服务器
以Nginx为例的配置片段:
```nginx
server {
listen 443 ssl;
server_name shop.example.com;
ssl_certificate /path/to/multidomain.crt;
ssl_certificate_key /path/to/server.key;
HSTS等安全头配置...
}
关键点提醒:
1. 确保证书链完整(包含中间CA证书)
2. HTTP严格传输安全(HSTS)建议至少设置180天有效期
3. OSCP装订(Stapling)能显著提升HTTPS握手效率
HTTPS最佳实践建议
1. 强制跳转策略
对所有HTTP请求做301重定向:
listen 80;
server_name *.example.com;
return 301 https://$host$request_uri;
2. 混合内容防护
使用Content-Security-Policy头防止不安全资源加载:
Content-Security-Policy: upgrade-insecure-requests
3. 定期更新监控
建议设置日历提醒在到期前30天续费。真实案例:某金融站点因SSL过期导致支付功能瘫痪8小时,损失超百万。
4. 性能优化
启用TLS1.3协议和ECC椭圆曲线加密算法能提升20%以上的握手速度。测试工具推荐使用SSLLabs的在线检测。
常见问题解答
Q:最多可以添加多少个二级域名?
A:不同CA有不同限制,DigiCert等顶级提供商最高支持250个SAN条目。但要注意每新增一个都需要重新签发证书。
Q:后续如何新增子域名?
A:需要重新生成包含新域名的CSR并向CA申请重新签发。部分提供商支持自助添加后即时签发。
Q: CDN环境下如何处理?
A:在阿里云/Cloudflare等平台需上传完整证书链。注意边缘节点可能有缓存时效性要求。
通过以上步骤和技巧,您就能轻松实现一个SSL证书保护多个业务系统的需求。既保证了安全性又节省了运维成本。实际部署中如果遇到具体问题,欢迎留言讨论!
TAG:ssl证书怎么绑定多个二级域名,ssl证书部署多台服务器,有ssl证书怎么设置成https,ssl证书绑定域名还是ip,ssl证书多域名合并