用户遇到的问题非常典型,是通配符SSL证书最核心的一个限制导致的。下面说一下原因。
一、根本原因:通配符证书的“一级”限制
你申请的`*.example.com`这类通配符证书,其通配符 `*` 只能且仅能匹配一个域名层级。
这意味着它只能保护像 `a.example.com`、`b.example.com` 这样的二级域名(或称一级子域名)。而你试图访问的 `c.a.example.com` 属于三级域名(或称二级子域名),已经超出了证书的覆盖范围。
二、详细分析:为什么 `*.example.com` 不行?
为了更清晰地说明,你可以参考下面的层级对照表(以主域 `example.com` 为例):
域名层级 示例 `*.example.com` 能否覆盖? 说明
主域名 `example.com` 否 需要单独在证书中添加,通配符默认不包含主域。
二级域名 `a.example.com` 是 这是通配符证书的标准覆盖范围。
三级域名 `c.a.example.com` 否 这是你遇到的问题,通配符无法匹配更深一级的域名。
核心逻辑:通配符 `*` 只能替代“主域名”前的一个位置。对于 `c.a.example.com` 来说,`*` 无法同时替代 `c` 和 `a` 这两个层级。
三、解决方案
根据你的实际业务需求,有以下几种解决方案:
1. 申请更高级别的通配符证书(不常用):你需要为 `*.a.example.com` 这个三级域名申请一个新的通配符证书,才能保护所有形如 `c.a.example.com` 的子域名。但请注意,这种证书价格较高,且支持的证书颁发机构(CA)较少。
2. 使用多域名证书(推荐):如果你的三级域名数量不多且固定,最佳方案是申请或升级为**多域名证书**(也称为SAN证书)。你可以在证书的“使用者备用名称”字段中,精确地列出所有需要保护的具体域名,例如 `c.a.example.com`、`d.a.example.com` 等。
3. 调整架构或使用其他证书:
如果条件允许,可以考虑将业务迁移到二级域名(如 `c-a.example.com`)上,这样一张 `*.example.com` 证书就可以全部覆盖。
检查你的访问是否存在自动跳转(例如从 `https://c.a.example.com` 跳转到 `https://a.example.com`),浏览器会在跳转前验证第一个域名的证书,如果该证书不匹配就会报错。
四、如何快速验证?
你可以通过以下步骤来确认问题所在:
查看证书信息:在浏览器中访问失败的网址,点击地址栏左侧的“锁”图标,查看已安装的证书详情。在“颁发给”或“使用者”字段中,确认证书的通用名称或备用名称是否包含你正在访问的 `c.a.example.com`。
使用命令行工具:在终端(或命令提示符)中输入以下命令,也可以直接看到证书的详细信息:
bash
openssl s_client -connect c.a.example.com:443 -servername c.a.example.com
通配符证书的核心规则就是“一级通配符只能匹配一级子域名”。建议你根据实际需要保护的域名数量和层级,在多域名SSL证书和更高级别的通配符证书之间做出选择。
