Sectigo作为全球领先的数字证书颁发机构(CA)，其多域名证书(SAN证书)解决方案为企业提供了"一张证书保护多个站点"的高效管理方式。本文将从基础认知、购买部署、核心管理技巧、问题排查到安全实践，全面解析Sectigo多域名证书的专业管理方法，帮助企业大幅降低证书管理成本，提升网站安全运营效率。

一、Sectigo多域名证书基础认知

1. 什么是多域名证书(SAN证书)

多域名证书，正式名称为主题备用名称证书，简称SAN证书。它允许在一张证书的"主题备用名称"字段中添加多个不同的域名、子域名甚至IP地址，实现用一张证书同时保护多个完全不同的网站。

与传统单域名证书只能保护一个精确域名不同，Sectigo多域名证书支持在同一张证书中包含：

• 主域名(如example.com)
• 不同的顶级域名(如example.net、example.org)
• 各级子域名(如www.example.com、mail.example.com、api.example.com)
• 完全不同的域名(如anotherdomain.com)
• 公网IP地址(如192.168.1.1)

2. Sectigo多域名证书的类型与规格

Sectigo提供了完整的多域名证书产品线，覆盖不同验证级别和安全需求：

核心优势：Sectigo多域名证书支持在证书有效期内随时添加、删除或修改SAN列表，无需重新购买新证书，这是其相比其他CA产品的重要差异化优势。

3. 多域名证书与其他证书类型的对比

企业在选择证书时，需要明确多域名证书、通配符证书和单域名证书的适用场景：

• 单域名证书：仅保护一个精确域名，成本最低但管理繁琐，适合只有1-2个域名的小型网站
• 通配符证书：保护一个域名及其所有一级子域名(如*.example.com)，但无法保护不同顶级域名和二级子域名(如sub.www.example.com)
• 多域名证书：保护任意数量的不同域名和子域名，管理最灵活，是拥有多个独立域名企业的最佳选择
• 多域名通配符证书：结合两者优势，可保护多个通配符域名，适合大型企业集团

成本对比：以保护10个不同域名为例，购买10张单域名证书的成本通常是1张包含10个SAN的多域名证书的3-5倍，且管理成本呈指数级增长。

二、购买与部署最佳实践

1. 如何选择合适的Sectigo多域名证书

选择证书时应综合考虑以下因素：

（1）验证级别：

• DV证书：适合测试环境、内部系统和非交易类网站，颁发速度最快
• OV证书：适合企业官网和一般商业网站，显示企业组织信息，提升可信度
• EV证书：适合电商、金融等涉及敏感交易的网站，浏览器显示绿色地址栏和企业名称，信任度最高

（2）SAN数量规划：

• 建议预留20%-30%的冗余SAN名额，避免频繁升级
• 对于快速发展的企业，可选择基础SAN数量较多的套餐
• Sectigo支持在证书有效期内随时增加SAN数量，按剩余时间比例计费

（3）有效期选择：

• 目前行业标准最长有效期为1年(398天)
• 不建议购买过短有效期的证书，增加管理负担
• 利用Sectigo的自动续期功能，确保证书无缝衔接

2. CSR生成的关键技巧

证书签名请求(CSR)生成是部署过程中最容易出错的环节，对于多域名证书尤为重要：

（1）包含所有必要的SAN：

• 主域名必须填写在"通用名称(Common Name)"字段
• 所有其他域名必须添加到"主题备用名称(SAN)"字段
• 注意区分带www和不带www的域名，它们是两个不同的SAN
• 建议同时添加IPv4和IPv6地址(如果需要)

（2）使用正确的加密算法：

• 必须使用RSA 2048位或更高密钥长度
• 推荐使用ECC(椭圆曲线加密)算法，密钥长度256位，性能更好且安全性更高
• Sectigo同时支持RSA和ECC两种算法的多域名证书

（3）CSR生成工具选择：

• 推荐使用OpenSSL命令行工具生成，确保兼容性
• 避免使用在线CSR生成工具，存在私钥泄露风险
• 生成时务必保存好私钥文件，且不要设置密码(否则服务器重启时需要手动输入)

标准OpenSSL生成多域名CSR命令示例：

openssl req -new -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csr -config <(
cat <<-EOF
[req]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[dn]
C = CN
ST = Beijing
L = Beijing
O = Your Company Name
OU = IT Department
emailAddress = admin@example.com
CN = example.com

[req_ext]
subjectAltName = @alt_names

[alt_names]
DNS.1 = example.com
DNS.2 = www.example.com
DNS.3 = mail.example.com
DNS.4 = api.example.com
DNS.5 = anotherdomain.com
EOF
)

3. 验证方式选择与快速完成验证

Sectigo提供三种域名验证方式，多域名证书需要对每个SAN单独完成验证：

（1）HTTP文件验证：

• 在域名根目录上传指定的验证文件
• 优点：操作简单，无需修改DNS
• 缺点：需要网站可正常访问，不适合未上线的网站

（2）DNS记录验证：

• 在域名DNS解析中添加指定的TXT记录
• 优点：最可靠，支持未上线网站和通配符域名
• 缺点：需要DNS管理权限，生效时间可能较长

（3）邮箱验证：

• 向域名管理员邮箱发送验证邮件
• 优点：操作最简单
• 缺点：容易被邮件系统拦截，不推荐

快速验证技巧：

• 优先选择DNS验证方式，一次性完成所有域名验证
• 使用Sectigo的即时验证功能，DNS记录生效后几分钟内即可完成验证
• 对于大量域名，可使用DNS API批量添加验证记录，大幅提高效率

4. 不同服务器环境的部署指南

Sectigo多域名证书的部署与单域名证书基本相同，但需要注意以下几点：

（1）Nginx部署：

• 将证书文件和私钥文件上传到服务器
• 在server块中配置ssl_certificate和ssl_certificate_key
• 所有使用该证书的域名都可以指向同一个server块
• 必须配置完整的证书链，否则部分浏览器会显示不安全警告

（2）Apache部署：

• 分别配置SSLCertificateFile、SSLCertificateKeyFile和SSLCertificateChainFile
• 每个域名可以配置独立的VirtualHost，共享同一张证书
• 确保启用了SSL模块和SNI支持

（3）IIS部署：

• 通过IIS管理器导入PFX格式的证书文件
• 在网站绑定中选择导入的证书
• 所有绑定的域名都会自动使用该证书

（4）云服务部署：

• 阿里云、腾讯云、AWS等云平台都支持上传Sectigo证书
• 可直接在云平台的负载均衡、CDN等服务中部署
• 利用云平台的证书管理功能实现自动续期和部署

三、Sectigo多域名证书核心管理技巧

1. 统一证书生命周期管理

多域名证书最大的优势就是将分散的证书管理集中化，实现统一的生命周期管理：

（1）建立证书清单：

• 创建详细的证书管理表格，记录每张证书的：

1）证书ID和序列号

2）包含的所有SAN列表

3）颁发日期和过期日期

4）部署的服务器和服务

5）负责人和联系方式

• 定期更新清单，确保信息准确

（2）集中化管理平台：

• 使用Sectigo官方的Certificate Manager平台
• 支持查看所有证书状态、下载证书文件、管理SAN列表
• 提供证书过期提醒和自动续期功能
• 支持多用户权限管理，适合团队协作

（3）标准化流程：

• 制定证书申请、部署、更新和吊销的标准流程
• 明确各环节的责任人和时间节点
• 建立变更管理机制，确保证书变更不会影响业务

2. SAN列表的动态更新与重颁发

Sectigo多域名证书的独特优势是支持在有效期内随时修改SAN列表，这是其他很多CA不具备的功能：

（1）添加新域名：

• 登录Sectigo管理平台，找到对应的证书
• 进入"管理SAN"页面，添加新的域名
• 对新添加的域名完成验证
• 系统会自动生成新的证书文件
• 下载并部署新证书到所有服务器

（2）删除无用域名：

• 定期清理不再使用的域名，释放SAN名额
• 删除域名后同样需要重颁发证书
• 注意：删除域名不会影响其他域名的正常使用

（3）修改主域名：

• Sectigo支持修改证书的主域名(Common Name)
• 修改后主域名会成为新的通用名称，原主域名自动成为SAN
• 需要对新的主域名完成验证

重要提示：每次修改SAN列表后，都必须重新颁发证书并部署到所有使用该证书的服务器。旧证书会在30天后自动吊销，因此务必在30天内完成所有服务器的更新。

3. 批量管理多个证书的工具与方法

对于拥有数十甚至上百张多域名证书的大型企业，手动管理显然不现实，需要借助自动化工具：

（1）ACME协议客户端：

• Sectigo支持ACME协议
• 使用Certbot、acme.sh等流行的ACME客户端
• 支持自动申请、验证、部署和续期证书
• 特别适合管理大量域名和服务器

（2）配置管理工具：

• 使用Ansible、Puppet、Chef等配置管理工具
• 将证书部署过程自动化，确保所有服务器配置一致
• 支持批量更新证书，一次操作更新所有服务器

（3）容器化部署：

• 在Docker、Kubernetes等容器环境中
• 使用cert-manager自动管理证书
• 证书会自动注入到容器中，无需手动干预
• 支持自动续期和滚动更新

4. 自动化部署与续期配置

证书过期是导致网站故障的最常见原因之一，自动化续期是解决这个问题的根本方法：

（1）Sectigo自动续期服务：

• 开启Sectigo官方的自动续期功能
• 证书过期前30天系统会自动生成新证书
• 自动完成域名验证(需要保持验证方式有效)
• 新证书生成后会发送邮件通知

（2）ACME自动续期：

• 使用acme.sh等工具配置自动续期任务
• 每天自动检查证书有效期
• 当证书剩余有效期不足30天时自动续期
• 续期成功后自动部署到服务器并重启相关服务

（3）续期注意事项：

• 确保域名验证方式持续有效(DNS记录或验证文件)
• 保留足够的时间进行测试和部署
• 配置续期成功和失败的邮件通知
• 定期检查自动续期任务是否正常运行

5. 监控与告警设置

完善的监控体系是确保证书安全运行的重要保障：

（1）证书有效期监控：

• 使用Prometheus+Grafana、Zabbix等监控工具
• 监控所有证书的剩余有效期
• 设置多级告警：

1）剩余30天：提醒负责人

2）剩余15天：升级告警

3）剩余7天：紧急告警，通知管理层

• 监控证书链的完整性和有效性

（2）网站HTTPS状态监控：

• 定期检查所有网站的HTTPS连接状态
• 监控是否存在混合内容错误
• 检查SSL/TLS配置是否安全
• 使用SSL Labs Server Test定期进行安全评估

（3）日志监控：

• 监控服务器的SSL错误日志
• 及时发现证书相关的错误和异常
• 建立日志分析和告警机制

四、常见问题与解决方案

1. SAN数量限制与扩展

问题：证书的SAN数量达到上限，需要添加更多域名。

解决方案：

• Sectigo支持在证书有效期内随时增加SAN数量
• 登录管理平台，进入证书详情页，选择"添加SAN"
• 按剩余时间比例支付额外费用
• 添加完成后重颁发证书并部署

最佳实践：

• 购买证书时预留足够的SAN名额，批量购买比单独添加更便宜
• 定期清理不再使用的域名，释放SAN名额
• 如果SAN数量需求超过250个，可以考虑购买多张多域名证书

2. 证书链不完整问题

问题：部分浏览器显示"证书不受信任"，但其他浏览器正常。

原因：服务器没有配置完整的证书链，缺少中间证书。

解决方案：

• 从Sectigo下载完整的证书包，包含服务器证书和中间证书
• 在服务器配置中正确指定证书链文件
• Nginx需要将服务器证书和中间证书合并到一个文件中
• Apache需要单独指定SSLCertificateChainFile
• 使用SSL Labs Server Test验证证书链是否完整

3. 混合内容错误排查

问题：浏览器地址栏显示感叹号，提示"此页面包含不安全的内容"。

原因：HTTPS页面中加载了HTTP协议的资源(图片、脚本、样式表等)。

解决方案：

• 使用浏览器开发者工具的"控制台"查看具体的混合内容错误
• 将所有HTTP资源链接改为HTTPS
• 使用相对路径或协议相对路径(//example.com/resource)
• 在服务器端配置CSP头，强制使用HTTPS

4. 不同浏览器兼容性问题

问题：证书在现代浏览器中正常，但在旧浏览器或移动设备上显示不安全。

原因：

• 使用了过新的加密算法，旧浏览器不支持
• 证书链中包含旧浏览器不信任的根证书
• 服务器配置了不安全的SSL/TLS协议和密码套件

解决方案：

• 同时部署RSA和ECC两种算法的证书，实现最佳兼容性
• 使用Sectigo的兼容性证书链
• 合理配置SSL/TLS协议和密码套件，平衡安全性和兼容性
• 使用SSL Labs Server Test测试不同浏览器的兼容性

五、安全最佳实践

1. 私钥管理

私钥是证书安全的核心，一旦泄露，攻击者可以伪造网站进行中间人攻击：

（1）私钥生成与存储：

• 必须在安全的服务器上本地生成私钥
• 严禁使用在线工具生成私钥
• 私钥文件权限设置为600，仅所有者可读
• 定期备份私钥文件，存储在安全的地方

（2）私钥轮换：

• 每次续期证书时生成新的私钥
• 不要重复使用私钥
• 如果怀疑私钥泄露，立即吊销证书并重新生成

（3）硬件安全模块(HSM)：

• 对于高安全要求的场景，使用HSM存储私钥
• 私钥永远不会离开HSM，无法被导出
• 支持加密操作的硬件加速

2. 证书吊销流程

当证书不再需要或私钥泄露时，必须及时吊销证书：

（1）吊销方式：

• 登录Sectigo管理平台，找到对应的证书
• 选择"吊销证书"，选择吊销原因
• 输入吊销密码(如果设置了)
• 证书会在几分钟内被吊销

（2）吊销后操作：

• 立即从所有服务器上删除被吊销的证书
• 部署新的证书
• 通知相关人员证书已被吊销

（3）OCSP装订：

• 在服务器上配置OCSP装订
• 浏览器可以直接从服务器获取证书吊销状态
• 提高HTTPS连接速度和隐私性

3. 避免证书过期的策略

证书过期会导致网站无法访问，造成严重的业务损失：

（1）多级提醒机制：

• 证书过期前90天：第一次提醒
• 过期前30天：第二次提醒，开始准备续期
• 过期前15天：第三次提醒，必须完成续期
• 过期前7天：紧急告警，启动应急预案

（2）自动化续期：

• 尽可能使用ACME协议实现自动续期
• 定期检查自动续期任务是否正常运行
• 保留手动续期的能力，作为备份

（3）应急预案：

• 制定证书过期应急预案
• 明确应急处理流程和责任人
• 定期进行应急演练

Sectigo多域名证书为拥有多个站点的企业提供了一种高效、经济的HTTPS解决方案。通过一张证书保护多个域名，企业可以大幅降低证书管理成本，减少因证书过期导致的业务中断风险。

Dogssl.cn拥有20年网络安全服务经验，提供构涵盖国际CA机构Sectigo、Digicert、GeoTrust、GlobalSign，以及国内CA机构CFCA、沃通、vTrus、上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务，如您有SSL证书需求，欢迎联系!