通配符SSL证书能够保护所有二级域名吗包含子域名吗？

2026-04-23

简单来说，不能。通配符 SSL 证书（Wildcard SSL）遵循 “单级覆盖” 原则，即它只能保护证书申请时所指定那一层级的无限个子域名，无法跨层级保护更深层或更高层的域名。

1. 通配符证书的保护逻辑

通配符证书使用星号（*）作为占位符，但这个星号只能代表一个完整的域名段，不能跨越点号（.）匹配多个层级。

以申请证书域名为 *.example.com 为例：

www.example.com、mail.example.com、blog.example.com 等所有直接挂在 example.com 下的子域名。

dev.api.example.com 或 news.mail.example.com。这些属于更深层级的子域名，超出了 *.example.com 的匹配范围。

标准通配符 *.example.com 本身不直接包含主域名 example.com，但目前大多数证书颁发机构（CA）在签发时会免费自动包含主域名。

申请的证书域名	可保护示例	无法保护示例
*.example.com	www.example.com、api.example.com	example.com (视CA政策而定)、test.api.example.com (跨层级)
*.api.example.com	dev.api.example.com、v1.api.example.com	api.example.com、prod.v1.api.example.com (跨级)

如果您有多个不同层级的子域名需要加密，通常有以下两种解决方案：

购买多张通配符证书：为每个层级分别申请，例如同时拥有 *.example.com 和 *.api.example.com 的证书。

使用多域名通配符证书 (Multi-Domain Wildcard)：这种证书允许在一张证书中添加多个通配符条目，可以同时包含 *.example.com、*.api.example.com 等，是管理复杂域名结构最高效的方式。

通配符SSL证书能够保护所有二级域名吗包含子域名吗？.jpg

如果您对SSL证书和证书自动化运维有任何疑问，欢迎咨询【海域云Seapx】