单域、通配符、多域：证书的覆盖范围

在选择SSL证书时，除了验证等级，另一个关键维度是证书的覆盖范围，即一张证书能保护多少个域名或子域名。根据覆盖范围的不同，证书主要分为单域名证书、通配符证书和多域名证书三类，以满足不同规模的网站架构需求。
一、单域名证书——基础精准，一证一域
定义： 一张证书仅能保护一个完全限定的域名。
覆盖范围：
保护 www.jianyang.com的证书，不能保护 jianyang.com（不包含www）。虽然它们指向同一网站，但技术上被视为两个不同的域名。
许多CA在签发单域名证书时，会默认同时包含带www和不带www的“裸域名”，购买时需确认。
特点： 结构简单，价格通常便宜。
适用场景： 只有一个主要域名的简单网站，且近期无添加子域名计划的个人或小企业。
二、通配符证书——灵活经济，一证覆盖同级子域
定义： 一张证书可以保护一个主域名及其所有同级子域名。证书的通配符以星号表示。
覆盖范围： 一张为 *.jianyang.com签发的通配符证书，可以保护：
www.jianyang.com
mail.jianyang.com
shop.jianyang.com
oa.jianyang.com
... 以及未来可能新增的任何子域名。
重要限制： 通配符仅覆盖一级子域名。它不能保护多级子域名，例如 admin.oa.jianyang.com需要另外的证书（如 *.oa.jianyang.com）来保护。
特点： 管理方便，性价比高，特别适合拥有大量子域名的场景，无需为每个新子域名单独购买和部署证书。
适用场景： 拥有多个功能子域的企业，例如OA系统、邮件系统、客户门户、API接口等。
三、多域名证书——集中管理，一证多主域
定义： 一张证书可以保护多个完全不同的、无关联的主域名。在购买时需指定一个主题备用名称列表。
覆盖范围： 一张多域名证书可以同时保护例如：
jianyang.com
jianyang.net
chengdu-security.org
shop-jianyang.com
特点： 灵活性极高，可以在证书有效期内随时添加或删除SANs字段中的域名（可能有次数限制或收费）。便于集中管理多个域名的证书生命周期。
适用场景：
拥有多个品牌或业务线，对应不同域名的集团企业。
为客户提供网站托管或SaaS服务的企业，可以用一张证书保护所有客户的域名。
总结与选择建议：
只有一个域名： 单域名证书经济。
拥有大量子域名： 通配符证书是管理和成本的优解。
拥有多个互不相关的主域名： 多域名证书能简化管理流程。
企业应根据自身当前的域名结构和未来的发展计划，选择合适的证书类型，以实现安全、效率和成本的佳平衡。