一、通配符 SSL 证书(泛域名 SSL)是什么
证书域名格式:*.xxx.com,星号 * 代表任意二级子域名1 张证书 = 主域名下全部一级子域名 HTTPS 加密示例:*.test.com✅ 自动保护:www.test.com、api.test.com、admin.test.com、h5.test.com、pay.test.com,子域名数量无上限⚠️ 两个限制:
- 不自动包含裸域名test.com,申请时额外勾选才可保护主域名;
- 不支持三级子域名 dev.api.test.com,只能覆盖一级子域;
- 无 EV 通配符,只有 DV(域名验证)、OV(企业组织验证)两种。
二、五大核心功能
1. HTTPS 传输加密(SSL 基础功能)
- 客户端↔服务端TLS1.2/1.3 加密传输,密码、接口数据、表单明文被加密,防抓包、中间人劫持、数据窃取;
- 浏览器地址栏出现安全小锁,消除 “不安全” 警告,兼容小程序、APP、Java 后端接口调用。
2. 一证无限子域名复用(最核心特色)
已有*.test.com证书,后续新建任意子域名无需再次买证、不用重新审核,解析上线即自动 HTTPS;SaaS 平台、多系统后端(管理后台、开放 API、前端 H5、文件服务)首选。
3. 统一证书运维,大幅降低管理成本
- 仅1 套证书文件(crt+key) ,Nginx/Apache/Java Tomcat、负载均衡、网关 Gateway 统一部署;
- 一年只需要1 次续期,不用几十个子域名逐个换证、逐个改配置,减少漏续期导致全站 HTTPS 失效风险。
4. 身份可信校验、防钓鱼
- DV:验证域名所有权;OV:核验企业工商信息,证书内置企业名称,用户辨别虚假钓鱼站点;
- Java 后端 HTTPS 请求时,客户端校验证书合法性,拦截伪造域名的钓鱼服务端。
5. 适配全业务场景(后端常用)
- 后端多服务拆分:
api.xxx.com、gateway.xxx.com、file.xxx.com共用证书; - 小程序 / APP 接口:小程序强制 HTTPS,一张通配符搞定全环境接口域名;
- 内网测试环境:
dev.xxx.com、test.xxx.com共用证书; - CDN、OSS、负载均衡全站 HTTPS 部署。
三、和单域名 SSL 对比(快速选型)
表格
| 证书类型 | 保护范围 | 新增子域名 | 适用场景 |
|---|---|---|---|
| 单域名 SSL | 仅 1 个域名 | 新增子域必须单独办证 | 只有单个官网 |
| 通配符 SSL | 全部一级子域 | 自动生效不用办证 | 多子域后端、企业多站点 |
四、免费 / 付费区别
- DV 通配符免费:Let’s Encrypt,90 天有效期,需自动续期脚本,适合个人 / 测试环境;
- OV 商业通配符:年费付费、有效期 1 年,企业正规项目、对公业务、支付系统使用,信任度更高。
五、Java 后端落地小场景
SpringBoot 项目配置*.xxx.com证书,
- 前端:
www、h5;后端接口:api、admin;文件:oss全部共用一套证书,yml 只配置一次密钥文件。
