什么是多域名SSL证书？

在网络安全领域，SSL证书就像是网站的"身份证"，而多域名SSL证书（也叫SAN证书）就像是一张可以同时证明多个身份的"万能身份证"。想象一下，你管理着公司官网(www.company.com)、电商平台(shop.company.com)和客户门户(portal.company.com)三个网站，传统方式需要购买三个独立证书，而多域名证书一张就能搞定。

技术上讲，这类证书使用了Subject Alternative Name(SAN)扩展字段。就像一个人的护照可以有多个曾用名一样，一个SSL证书可以包含多个域名。主流CA机构如DigiCert、GlobalSign都提供这类产品。

为什么选择多域名证书？

去年我们为客户做安全审计时发现：某企业使用5个单域名证书管理旗下网站，结果有两个子站点的证书过期未被发现，导致用户访问时出现安全警告。如果使用多域名证书：

1. 成本节约：单个多域证通常比多个单域证便宜30-50%

2. 管理便利：统一到期日、一键续费

3. 配置简化：IIS服务器只需一次配置

4. 安全一致：确保所有站点加密标准统一

但要注意微软限制：IIS 8.0以下版本最多支持5个SAN条目，新版则无硬性限制。

IIS配置全流程演示

环境准备

假设我们有以下需求：

- 主域名：www.example.com

- 附加域名：api.example.com、cdn.example.net

- 服务器：Windows Server 2025 + IIS 10

CSR生成关键步骤

1. 打开IIS管理器 → 点击服务器名称 → 进入"服务器证书"

2. 右侧操作栏选择"创建证书申请"

3. "通用名称"填写主域名(www.example.com)

4. "备用名称"填写其他两个域名（重要！这是与单域证最大区别）

```powershell

PowerShell验证CSR是否包含SAN（示例）

Get-Content C:\certrequest.txt | Select-String "DNS:"

应看到类似输出：

DNS:www.example.com, DNS:api.example.com, DNS:cdn.example.net

```

安装与绑定技巧

从CA获取.crt文件后：

1. 完成证书颁发机构要求的验证流程（通常需要邮箱或DNS验证）

2. IIS中点击"完成证书申请"

3. 关键步骤：为每个站点单独绑定443端口时：

- www站点：主机名留空（自动匹配CN）

- api站点：明确填写api.example.com

- cdn站点：填写cdn.example.net

```xml

sslFlags="1" />

常见故障排查指南

SNI兼容性问题

当客户端是Windows XP/Android 2.x等老旧系统时：

- 现象：只能访问默认站点（第一个绑定的HTTPS站点）

- 解决方案：

1) Upgrade到支持SNI的客户端（推荐）

2) 为旧系统单独分配IP地址

HTTP/2冲突案例

某客户反馈启用新证后HTTP/2失效：

1. 诊断：浏览器开发者工具→网络→协议列显示h1而非h2

2. 原因：部分CA的中级证书使用SHA-1签名（已淘汰）

3. 修复：

```bash

openssl s_client -connect example.com:443 -servername example.com | openssl x509 -noout -text | grep "Signature Algorithm"

```

确保证书链全部使用SHA-256

高级安全加固建议

HSTS预加载策略

对于重要子域，在响应头加入：

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

并提交到hstspreload.org。这样即使用户首次访问也会强制HTTPS。

OCSP装订优化

修改注册表提升性能：

```regedit

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]

"EnableOcspStaplingForSni"=dword:00000001

CA机构对比表

| CA厂商 | SAN数量上限 | SHA-256支持 | OCSP响应速度 |

|-|||-|

| DigiCert | Unlimited | ?? | <300ms |

| Sectigo | 250 | ?? | ~500ms |

| GoDaddy | 100 | ?? | ~800ms |

注：价格随SAN数量增加呈阶梯式上涨，建议根据实际需求选择。

通过以上配置，你的IIS服务器将获得企业级HTTPS防护能力。记得每季度检查一次到期时间，可使用如下PowerShell脚本自动化监控：

Get-ChildItem -Path Cert:\LocalMachine\My |

Where { $_.Extensions.Where{ $_ -is [System.Security.Cryptography.X509Certificates.X509EnhancedKeyUsageExtension] } } |

Select FriendlyName, NotAfter |

Sort NotAfter |

Export-Csv -Path C:\cert_expiry.csv -NoTypeInformation

TAG:iis ssl 多域名证书,ssl证书可以用几个域名,泛域名ssl证书,域名的ssl证书怎么申请