证书类型概述
当需要保护多个域名或子域名时,单域名证书显然不够。通配符证书(Wildcard)和多域名证书(SAN/UCC)是两种常见方案,各有优劣。
通配符证书
特点
一张证书保护指定域名下的所有一级子域名。例如*.example.com可以保护blog.example.com、api.example.com、shop.example.com等无限个子域名。
优缺点
- 优点:子域名无限、管理简单、新增子域名无需重新签发
- 缺点:仅覆盖一级子域(不含*.sub.example.com)、安全风险更大(一张证书私钥被泄露影响所有子域名)、不支持EV级别
适用场景
子域名数量多且频繁变化的场景:SaaS平台(tenant1.app.com)、微服务架构(api.example.com, auth.example.com)、多语言站点(en.example.com, zh.example.com)。
多域名证书(SAN)
特点
一张证书中列出多个完全不同的域名。Subject Alternative Name (SAN)字段中包含所有受保护的域名。最多通常支持100-250个域名。
优缺点
- 优点:保护不同域名(example.com + example.net + other.com)、支持EV验证
- 缺点:增加域名需要重新签发证书、域名列表在证书中公开可见
适用场景
多品牌企业(不同域名指向同一服务)、邮件服务器(多个域名的MX)、统一通信平台(UCC证书)。
管理最佳实践
证书生命周期管理:使用certbot或ACME客户端自动化签发续期。证书清单:维护所有证书的域名、到期时间、存放位置清单。监控告警:证书到期前30天开始告警。密钥轮换:每次续期生成新的密钥对。