【導讀】二級域名HTTPS證書不是可選項，而是現代網站架構的事實剛需。只要你的業務用了 mail、admin、api、shop 等子域，就得一一配齊，否則安全隱患就在那里等著被放大。

為什么單獨談二級域名HTTPS證書？因為它常常被忽略
很多站長花了大力氣給 www.example.com 和 example.com 配好了SSL，卻發現訪問 blog.example.com 或 dev.example.com 時瀏覽器赫然跳出“不安全”警告。殊不知，每個子域在HTTPS世界里都是獨立實體——就像一棟大樓的各個單元房，門鎖得各自安好。

更嚴重的是：一旦某個二級域名仍在裸奔HTTP，黑客就可能借此注入惡意腳本、劫持Cookie、實施中間人攻擊，進而波及其他同源站點（SameSite策略并不能完全隔離）。

主流方案怎么解決二級域名HTTPS證書問題？
目前有三類成熟做法，適配不同技術能力和預算水平：

通配符證書 (*.example.com)：一張證書覆蓋所有三級及以下子域（如 api.example.com、cdn.static.example.com），適合子域較多且變動頻繁的場景；
多域名SAN證書：單張證書綁定多個指定域名（如 example.com + www.example.com + shop.example.com + admin.example.com），靈活性高、兼容性強；
逐個申請DV證書：分別為每個二級域名單獨走一遍Let’s Encrypt驗證流程，適合初期少量子域、后期逐步擴容的情形。
沒有絕對最優解，關鍵是看你未來幾年是否會大規模拓展子服務體系。

通配符 vs SAN：該怎么選？一看就知道
二者表面相似，內在邏輯迥異：

? 通配符證書優點是省事、彈性好，缺點是對DNS驗證強依賴（必須能操作TXT記錄）、不支持根域名+泛域名同簽（即 .example.com ≠ example.com）；
? SAN證書優點是可以混合不同類型域名（example.com + app.io + cdn.net）、無需改DNS、天然包含主域，缺點是新增子域需重新申請、總量有限制（通常≤100個）。
舉例：如果你下周就要上線 mobile.example.com 和 pay.example.com，用通配符立刻生效；若你還打算把 old-site.com 也遷進來，則SAN更合適。

實戰教學：三步搞定二級域名HTTPS證書部署（以Nginx為例）
假設你已持有適用于 blog.example.com 的證書文件（fullchain.pem 和 privkey.pem）：

將證書上傳至服務器任意安全目錄（如 /etc/nginx/ssl/blog/）；
編輯對應 server{} 塊，在 listen 443 ssl; 下方添加：
ssl_certificate /etc/nginx/ssl/blog/fullchain.pem;ssl_certificate_key /etc/nginx/ssl/blog/privkey.pem;
保存后執行 nginx -t && systemctl reload nginx 生效。
然后打開 https://blog.example.com 測試是否顯示綠色鎖圖標。若有異常，請繼續閱讀下一節排障指南。

在此處添加配圖

常見報錯速查手冊：為什么二級域名HTTPS證書總是配不好？
以下是工程師高頻遭遇的問題及應對思路：

? “NET::ERR_CERT_COMMON_NAME_INVALID” → 檢查證書 Subject Alt Names 是否包含 blog.example.com，而非僅 example.com；
? 頁面樣式丟失、JS報錯 → 極大概率混用了HTTP資源，F12 Console中搜索 Mixed Content 關鍵字定位；
? 刷新后偶爾恢復HTTP → Nginx配置中缺失 permanent 重定向規則，應在80端口server塊內補上：return 301 https://$host$request_uri;；
? 子域間 Cookie無法共享 → 需設置 Set-Cookie 的 Domain=.example.com 參數，并啟用 SameSite=None; Secure 標識。
這些問題大多不出現在證書本身，而出現在周邊聯動配置上。

最后提醒：別忘了CDN和負載均衡器的存在
如果你在二級域名前面加了Cloudflare、騰訊云CDN或Nginx Proxy，那真實的HTTPS鏈條其實是這樣的：

[用戶] ←HTTPS→ [CDN節點] ←HTTPS→ [源站]

這就意味你需要兩張證書：

CDN側：由CDN廠商自動管理（如CF免費Universal SSL）；
源站側：你自己部署的二級域名HTTPS證書，用來保障最后一公里通信安全。
兩者缺一不可。否則可能出現“前臺看著綠鎖，后臺卻明文傳參”的危險局面。

說到底，二級域名HTTPS證書不是炫技配件，而是分布式服務架構下的責任分割線。每一個對外開放的入口，都應該有自己的加密盾牌。認真對待它，就是在加固整個數字地基。

延伸問答
Q：我能用同一張通配符證書同時保護 example.com 和 sub.example.co.uk 嗎？
A：不能。“.”只作用于同一注冊域（Registered Domain）之下，co.uk 是英國二級國家代碼頂級域（ccTLD），需單獨申請。
Q：API接口放在 api.example.com 上，也需要HTTPS嗎？
A：必須需要。所有涉及身份令牌（JWT/Bearer Token）、敏感參數傳遞的接口，都應強制HTTPS，否則Token極易被盜用。