通配符SSL证书能够保护所有二级域名吗包含子域名吗？

简单来说，不能。通配符 SSL 证书（Wildcard SSL）遵循 “单级覆盖” 原则，即它只能保护证书申请时所指定那一层级的无限个子域名，无法跨层级保护更深层或更高层的域名。

1. 通配符证书的保护逻辑

通配符证书使用星号（*）作为占位符，但这个星号只能代表一个完整的域名段，不能跨越点号（.）匹配多个层级。

以申请证书域名为 *.example.com 为例：

a.能保护的（二级域名/三级子域名）：

www.example.com、mail.example.com、blog.example.com 等所有直接挂在 example.com 下的子域名。

b.不能保护的（三级域名/四级子域名）：

dev.api.example.com 或 news.mail.example.com。这些属于更深层级的子域名，超出了 *.example.com 的匹配范围。

c.关于主域名：

标准通配符 *.example.com 本身不直接包含主域名 example.com，但目前大多数证书颁发机构（CA）在签发时会免费自动包含主域名。

2. 不同层级域名保护对照表

3. 如果需要保护多级子域名怎么办？

如果您有多个不同层级的子域名需要加密，通常有以下两种解决方案：

购买多张通配符证书：为每个层级分别申请，例如同时拥有 *.example.com 和 *.api.example.com 的证书。

使用多域名通配符证书 (Multi-Domain Wildcard)：这种证书允许在一张证书中添加多个通配符条目，可以同时包含 *.example.com、*.api.example.com 等，是管理复杂域名结构最高效的方式。

如果您对SSL证书和证书自动化运维有任何疑问，欢迎咨询【海域云Seapx】