通配符证书的定义

通配符证书（Wildcard Certificate）是一种SSL/TLS证书，允许通过单个证书保护主域名及其所有同级子域名。证书中的通配符以星号（*）表示，例如 *.example.com 可覆盖 blog.example.com、shop.example.com 等，但不支持多级子域名（如 *.*.example.com）。

通配符证书的特点

• 覆盖范围：仅适用于同一级子域名，例如 *.example.com 不能保护 test.blog.example.com。
• 灵活性：新增子域名无需重新申请证书，只需配置服务器即可使用。
• 成本效益：适合拥有大量子域名的场景，比单独购买多个证书更经济。

适用场景

• 企业内网（如 mail.company.com、vpn.company.com）。
• 多客户门户（如 client1.site.com、client2.site.com）。
• 动态生成的子域名（如临时测试环境）。

限制与注意事项

• 安全风险：若私钥泄露，所有子域名可能被攻击。
• 不支持多级通配符：如 *.*.example.com 需额外证书。
• 验证级别：通常为DV（域名验证）或OV（组织验证），不支持EV（扩展验证）。

申请与部署

1. 生成CSR：在服务器上创建包含通配符域名的证书签名请求。

   bash复制插入

   openssl req -new -newkey rsa:2048 -nodes -keyout wildcard.key -out wildcard.csr
   

   复制插入

2. 提交CA：向证书颁发机构（如DigiCert、Let's Encrypt）提交CSR，完成验证。
3. 安装证书：将颁发的证书和私钥部署到Web服务器（如Nginx、Apache）。

示例配置（Nginx）

nginx复制插入

server {
    listen 443 ssl;
    server_name *.example.com;
    ssl_certificate /path/to/wildcard.crt;
    ssl_certificate_key /path/to/wildcard.key;
}

复制插入

替代方案

对于多级子域名或更复杂需求，可考虑：

• 多域名证书（SAN证书）：手动指定多个域名。
• Let's Encrypt通配符证书：免费但需通过DNS挑战验证。

通配符证书简化了子域名管理，但需权衡安全性与便利性。