通配符证书支持几级域名？

一个主域名下有十几个子域名，难道要挨个申请SSL证书？通配符证书作为一证多域的高效解决方案，能大幅降低多子域名的管理成本，但很多用户在选择时都会陷入核心疑问：通配符证书支持几级域名？能覆盖所有层级的子域名吗？不同类型的通配符证书覆盖范围有何差异？

一、什么是通配符证书？​

通配符证书是一种特殊的SSL证书，通过在域名前添加星号作为通配符，实现对一个主域名及旗下同级子域名的批量保护。例如，为.xxx.com申请的通配符证书，无需为每个子域名单独申请证书，即可同时保护blog.xxx.com、shop.xxx.com、app.xxx.com等多个子域名，是多子域名网站的省钱省力神器。​

二、通配符证书支持几级域名？

这是通配符证书的核心规则：标准通配符证书仅支持保护主域名+一级子域名，不支持二级及以上子域名。​

举个直观例子：​

若申请的通配符证书为*.xxx.com，则支持的子域名包括：​blog.xxx.com​、shop.xxx.com​、admin.xxx.com

不支持的子域名包括：​test.blog.xxx.com​、app.shop.xxx.com、a.b.c.xxx.com

简单来说，通配符“*”仅能匹配“主域名前的一个层级”，无法跨层级覆盖。这是由SSL证书的域名验证规则决定的，目的是确保证书的安全性和管理精准性，避免因通配符过度宽泛导致的安全风险。​

三、通配符证书如何支持多级域名？

如果业务场景需要覆盖二级及以上子域名，普通通配符证书无法满足，此时需要选择多级通配符证书，也叫“泛域名通配符证书。​

多级通配符证书的覆盖规则：​

1、二级通配符证书：格式为“..xxx.com”，可覆盖一级子域名+二级子域名。

2、三级通配符证书：格式为“..*.xxx.com”，可覆盖到三级子域名，以此类推。​

注意事项：​

多级通配符证书的价格远高于普通通配符证书，且支持的CA机构较少，多数主流CA机构仅提供一级通配符证书。

层级越多，证书的安全风险越高，CA机构的审核越严格，通常仅针对大型企业、政府机构等特殊需求提供。

实际应用中，二级及以上子域名的使用场景较少，多数企业通过“拆分证书”的方式解决。​

四、通配符证书的注意事项

很多用户会误判域名层级，以下两种情况需特别注意：​

1、主域名带www不算多级：www.xxx.com本质是一级子域名，普通通配符证书*.xxx.com可正常覆盖。

2、多后缀域名不算多级：xxx.cn、xxx.com.cn属于不同的主域名，普通通配符证书.xxx.com无法覆盖.xxx.cn，需单独申请多域名通配符证书。​