单域名证书与多域名 SAN 证书的核心差异在于保护范围与管理成本。单域名证书仅保护一个完全限定域名(FQDN),而多域名证书通过 Subject Alternative Name (SAN) 扩展字段保护多个不同主域名。
先说结论:单域名证书入门门槛低,多域名证书在保护 3 个以上不同域名时性价比更高且管理更集中。
- 适合场景:单域名适合个人博客或单一业务官网;多域名适合集团多业务线或 SaaS 平台。
- 成本临界点:通常当需要保护的独立域名数量超过 3 个时,多域名证书的均摊成本更低。
- 运维风险:多域名证书所有域名共用过期时间,新增域名需完成所有权验证(DCV)并重新签发,不可直接修改。
成本与管理对比
价格受品牌(DV/OV/EV)、年限及促销活动影响较大,以下为市场常见参考区间:
| 特性 | 单域名证书 | 多域名 SAN 证书 |
|---|---|---|
| 基础价格 | 较低(百元级/年) | 较高(千元级/年起) |
| 域名数量 | 1 个主域名 | 通常默认 3-5 个,可扩展至 100+ |
| 管理复杂度 | 多证书需分别续费 | 统一控制台管理,一次性续费 |
| 变更流程 | 重新申请 | 需验证新增域名所有权并重新签发 |
技术验证与命令
部署后需确认证书是否正确包含所有 SAN 域名。以下是 Linux 环境下常用的验证命令:
1. 使用 OpenSSL 查看证书 SAN 字段:
openssl x509 -in your_domain.crt -text -noout | grep -A1 "Subject Alternative Name"输出应包含所有需要保护的域名,例如 DNS:example.com, DNS:www.example.org。
2. 使用 Curl 快速检查:
curl -vI https://example.com 2>&1 | grep "subjectAltName"3. 浏览器手动检查:
点击地址栏锁图标 -> 证书详情 -> 查看“使用者备用名称”列表,确认所有业务域名均在列。
申请与运维注意事项
多域名证书并非“一劳永逸”,在运维过程中需注意以下流程:
- 域名所有权验证(DCV):无论是首次申请还是中途添加域名,CA 机构均要求对每个新增域名进行所有权验证(文件验证、DNS 验证或邮件验证)。
- 重新签发机制:添加域名会导致证书序列号变更,原有证书失效,需在业务窗口期重新部署新证书。
- 过期时间耦合:所有 SAN 域名共享同一过期时间。若某个域名业务终止,建议到期后不再续费该域名或更换证书,避免资源浪费。
常见配置误区
- 子域名覆盖误区:多域名证书默认不保护子域名。例如绑定
example.com不会自动保护blog.example.com,除非显式添加或使用通配符多域名证书。 - www 与非 www 区分:部分 CA 将
example.com和www.example.com视为两个不同域名占用额度,购买时需确认是否免费赠送互为别名。 - 混合品牌限制:一张多域名证书通常仅限同一品牌体系,不可跨 CA 合并域名。