【導讀】免費通配符證書確實存在，但不像普通DV證書那樣隨手可得。它受限于CA政策、驗證方式和技術棧支持程度。這篇文章就說透它的來龍去脈。

什么叫通配符證書？和普通SSL有什么不一樣？
常規SSL證書只能保護一個精確域名，比如 example.com 或 www.example.com。而通配符證書用 * 號代替三級或多級子域，一張證書就能覆蓋：

mail.example.com
shop.example.com
api.example.com
dev.staging.test.example.com（取決于層級定義）
這對開發測試環境、微服務架構或頻繁新增子站的企業來說非常高效——省去了逐個申請、分別部署的麻煩。

目前哪家CA提供真正免費的通配符證書？
截至2024年，唯一面向公眾開放且長期穩定的免費通配符證書來源仍是 Let’s Encrypt，前提是滿足以下兩個硬性條件：

必須使用 DNS 方式完成域名所有權驗證（即在DNS后臺添加一條TXT記錄）；
申請人需具備自動化腳本能力或使用支持 ACME 協議的客戶端工具（如 acme.sh / Certbot 插件）。
也就是說：沒有圖形界面、不接受郵箱/HTTP文件驗證、也不能靠點鼠標完成。這也是為什么很多人搜“免費通配符證書”卻找不到入口的原因。

為什么不能像普通證書一樣隨便申請？
根本原因是風險控制。相比單一域名，通配符代表更大范圍的信任授權。Let’s Encrypt 明確規定：

每次申請最多涵蓋100個域名（含主域+子域）；
同一賬戶每周限簽50張新證（防止濫用）；
不允許用于高危用途，例如代理釣魚站點或惡意軟件分發平臺。
因此它更適合技術可控、運維自主的真實生產環境，而非外包建站或共享主機用戶。

手把手教你怎么拿到第一張免費通配符證書
以最常見的 Linux VPS 場景為例，三步到位：

安裝 acme.sh 工具：curl https://get.acme.sh | sh；
登錄你的DNS服務商后臺，獲取 API Key 并配置到 shell 中（如 Cloudflare/DNSPod 支持）；
執行命令：acme.sh --issue -d "example.com" -d "*.example.com" --dns dns_cf。
幾分鐘后證書自動簽發并存放至 ~/.acme.sh/example.com/ 目錄下。記得將 *.cer 和 *.key 文件拷貝至 Nginx/Apache 對應路徑，并重啟服務。

在此處添加配圖

不適合用免費通配符證書的幾種情況
并不是所有需求都能靠這張證書解決。請注意規避以下誤區：

你想保護頂級域名本身（如 .com/.cn），這是絕對不可能的；
你需要 OV/EV 類型認證（顯示公司名），Let’s Encrypt 不提供此類免費選項；
你用的是 Windows 主機 + IIS，缺乏成熟ACME集成組件，手動部署難度陡升；
你經常變更DNS提供商，每次都得重新錄入API憑證，反而增加管理負擔。
在這種情況下，不如選用一年期入門款商業通配符證書，價格大多低于￥300，附贈專業技術支持和兼容性兜底保障。

結語：理性看待“免費”的代價
免費通配符證書的價值不在省錢，而在靈活性與擴展性。它可以為你節省重復勞動時間、支撐敏捷迭代節奏、減少人為失誤概率。但這一切的前提是你愿意花半小時學習一套標準化流程。如果你的目標只是讓網站首頁變綠鎖，那就沒必要折騰通配符——單域名證書更快更穩。

說到底，免費通配符證書不是一個拿來即用的功能按鈕，而是一把需要親手打磨的鑰匙。握得住，才打得開更大的門。

延伸問答
Q：我能拿免費通配符證書去保護多個一級域名嗎？比如 *.a.com 和 *.b.net 同時簽在同一張證書里？
A：不行。Wildcard只作用于同根域名下的二級及更深子域，跨主域必須分開申請。
Q：證書到期前多久開始自動續訂？會不會突然失效？
A：acme.sh 默認提前60天檢測并更新，成功率高于99.5%，極少發生意外中斷。