子域名的 SSL 證書：你的選項詳解

你需要在子域名（blog.example.com、api.example.com、staging.example.com）上啟用 HTTPS。有三個選項：

選項 1：萬用字元證書（*.example.com）

一張證書自動覆蓋所有子域名——包括你將來建立的。

優勢	劣勢
覆蓋無限子域名	需要 DNS-01 驗證（需要 DNS 訪問許可權）
新子域名即時生效	所有子域名共用一個私鑰（共享風險）
只需管理 1 張證書	不覆蓋巢狀子域名（a.b.example.com）
從 Let’s Encrypt 免費獲取	不覆蓋裸域名（需單獨新增 example.com）

適合： 多個子域名，經常新增新的。

*.example.com covers:
  ✅ www.example.com
  ✅ blog.example.com
  ✅ api.example.com
  ✅ staging.example.com
  ✅ anything.example.com
  ❌ example.com (add separately)
  ❌ sub.blog.example.com (nested)

如何獲取萬用字元證書 →

選項 2：SAN 證書（列出特定子域名）

在證書的主體備用名稱欄位中明確列出每個子域名。

優勢	劣勢
可使用 HTTP-01 驗證（更簡單）	必須明確列出每個子域名
可混合不同基礎域名	新增子域名需要新證書
每個名稱單獨驗證	Let’s Encrypt 限制：每證書 100 個名稱
從 Let’s Encrypt 免費獲取	子域名頻繁變動時管理更多

適合： 數量少且固定的子域名（2-5 個）。

SAN certificate covers exactly what you list:
  ✅ example.com
  ✅ www.example.com
  ✅ blog.example.com
  ❌ api.example.com (if not listed)

在 GetHTTPS 中，輸入你需要的所有子域名即可。

選項 3：每個子域名單獨的證書

每個子域名獲取自己的證書。

優勢	劣勢
最大隔離性（獨立金鑰）	管理開銷最大
獨立的續簽計劃	每個子域名需跟蹤一張證書
一個被洩露不影響其他	更多伺服器配置
每個子域名可用 HTTP-01

適合： 由不同團隊管理的子域名，或安全隔離很重要時。

對比表

	萬用字元	SAN	獨立
覆蓋的子域名	全部（無限）	僅列出的	每證書一個
新子域名	自動	需重新簽發	需新證書
驗證型別	僅 DNS-01	HTTP-01 或 DNS-01	HTTP-01 或 DNS-01
管理的證書數	1	1	N
安全隔離	共用金鑰	共用金鑰	獨立金鑰
費用（Let’s Encrypt）	免費	免費	免費
適合	動態子域名	固定集合（2-5）	團隊隔離

常見場景

”我有 example.com 和 www.example.com”

→ SAN 證書（最簡單）。在 GetHTTPS 中輸入兩個名稱。這是最常見的配置。

“我有 www、blog、api、docs、staging 子域名”

→ 萬用字元（*.example.com + example.com）。覆蓋所有當前和未來的子域名。

“每個子域名是不同客戶的站點”

→ 獨立證書。每個客戶管理自己的。一個被洩露不影響其他。

“我有 example.com + example.org + 子域名”

→ SAN 證書組合域名 + 萬用字元：example.com、*.example.com、example.org。GetHTTPS 支援此方式。

常見問題

*.example.com 覆蓋 example.com 本身嗎？

不覆蓋。裸域名需要單獨列出。在 GetHTTPS 中，同時新增 *.example.com 和 example.com。詳情 →

能在一張證書中混合萬用字元和特定域名嗎？

可以。一張 Let’s Encrypt 證書可以包含 *.example.com、example.com 和 other.com 作為 SAN 條目。每證書最多 100 個名稱。

哪個選項最便宜？

三個選項透過 Let’s Encrypt 配合 GetHTTPS 都是免費的。某些商業 CA 對萬用字元額外收費（$200-500/年），對每個 SAN 條目收費（$10-50）。使用 Let’s Encrypt 時，費用從不是問題。

我的子域名在不同伺服器上，能用同一張證書嗎？

可以。在兩臺伺服器上安裝相同的 fullchain.pem 和 privkey.pem。證書不知道自己在哪臺伺服器上——它只驗證域名。