使用Sectigo®CaaSDV+通配符SSL证书保护您的网站及其所有子域名。该证书由全球最值得信赖的证书颁发机构(CA)之一提供，并通过证书即服务(CaaS)交付。此SSL证书提供即时域名验证(DV)，覆盖*.yourdomain.com和根域名yourdomain.com，并通过基于API的自动化部署保护无限数量的子域名。

Sectigo®CaaSDV+Wildcard专为运营大规模子域基础架构的组织、管理动态环境的DevOps团队以及需要从全球认可的证书颁发机构(CA)进行自动通配符SSL证书控制的企业而设计，提供企业级子域保护和完整的API驱动部署。

通过Gworg®CaaS平台提供的Sectigo®通配符SSL证书安全保障，可在无限子域名上建立客户信任。此SSL证书结合了业界领先的证书颁发机构(CA)提供的全面子域名覆盖范围和自动化API管理，可实现可扩展部署。

Sectigo信任跨越所有子域名

Sectigo是全球最大的商业证书颁发机构(CA)之一，其根证书几乎被当今所有浏览器、操作系统和移动平台所信任。当您使用Sectigo通配符SSL证书保护您的子域名时，*.yourdomain.com下的每个子域名都会继承这条已建立的信任链。访问app.yourdomain.com、portal.yourdomain.com或任何其他子域名的用户都会看到由Sectigo全球认可的根证书支持的相同可信HTTPS连接。

对于服务于跨多个子域的客户、合作伙伴或内部团队的组织而言，这种信任级别尤为重要。每个子域都拥有证书颁发机构(CA)的信誉，其证书已预装在Chrome、Firefox、Safari、Edge、iOS和Android系统中，确保无需任何手动配置信任库即可获得一致的识别。

动态基础架构的通配符覆盖

Sectigo®CaaSDV+通配符使用单个SSL证书即可保护*.yourdomain.com下的所有子域名，同时也能保护根域名yourdomain.com本身。此保护会自动应用于所有现有子域名以及您将来创建的所有子域名。当您将staging.yourdomain.com、api.yourdomain.com或任何新子域名添加到您的基础架构时，无需申请额外的SSL证书、更新配置或重复验证。

对于拥有动态基础架构（例如，在部署流程、客户配置或自动扩展过程中会创建和删除子域名）的组织而言，这种自动覆盖功能可以消除SSL证书管理开销，否则该开销会随着子域名数量的线性增长而增加。

通过证书即服务实现自动化管理

证书即服务(CaaS)交付模式将通配符SSL证书管理从手动操作转变为自动化基础设施流程。您的系统无需手动生成证书签名请求(CSR)文件、通过控制面板完成域名验证以及下载SSL证书文件进行安装，而是通过自动化证书管理环境(ACME)协议处理通配符SSL证书的整个生命周期。

购买Sectigo®CaaSDV+通配符SSL证书，即购买一个有效期固定的SSL证书许可。在许可有效期内，您的ACME客户端会在通配符SSL证书即将到期时自动续期，并根据您剩余的许可有效期延长已安装SSL证书的有效期。这意味着您只需购买一次，所有子域名即可在许可有效期内持续受到保护。

当您的许可期限即将到期时，您可以无需在任何服务器上重新安装或配置即可延长或续订许可。延长的许可有效期将自动生效，您的ACME客户端将继续在所有子域上像往常一样获取通配符SSL证书。

无需更新外部帐户绑定(EAB)凭据、修改域名系统(DNS)配置或更改现有自动化设置的任何部分。

Sectigo®CaaSDV+通配符证书提供API访问，可对SSL证书流程的每个阶段进行操作。DevOps团队可以将通配符SSL证书配置集成到现有的自动化管道中，将子域名安全视为与代码发布、基础架构变更和环境配置并行运行的另一个部署步骤。

ACME协议用于通配符自动化

Sectigo®CaaSDV+通配符证书采用RFC8555中定义的自动化证书管理环境(ACME)协议，实现通配符SSL证书生命周期的完全自动化。安装在您服务器上的ACME客户端可直接与Sectigo证书颁发机构(CA)通信，自动处理域名验证、SSL证书颁发、服务器配置和重新颁发等操作。

通配符SSL证书需要进行DNS-01验证，ACME客户端会在您域名的域名系统(DNS)区域中创建一个临时TXT记录。许多ACME客户端都内置了与Cloudflare、AWSRoute53、GoogleCloudDNS、AzureDNS和DigitalOcean等主流DNS提供商的集成，从而可以实现记录的全自动创建和清理。

Sectigo证书颁发机构(CA)验证您的域名控制权后，将颁发通配符SSL证书，客户端会自动安装和配置该证书。

ACME客户端兼容性

Sectigo®CaaSDV+通配符证书可与所有支持DNS-01挑战的主流ACME客户端配合使用。Certbot是应用最广泛的选择，它通过域名系统(DNS)插件为数十家主机和云服务提供商提供通配符SSL证书支持。acme.sh客户端拥有最全面的域名系统(DNS)API集成库，支持超过150家提供商，使其成为在各种基础架构中自动部署通配符证书的理想之选。

对于Kubernetes环境，cert-manager作为原生集群资源，内置DNS-01解析器支持，可处理通配符SSL证书的颁发和重新颁发。Windows环境则由win-acme和CertifyTheWebforMicrosoftInternetInformationServices(IIS)部署提供支持。Lego、dehydrated和Posh-ACME为Go、shell和PowerShell环境提供了更多选择。

所有这些客户端都使用来自您Gworg®帐户的外部帐户绑定(EAB)凭据向Sectigo证书颁发机构(CA)进行身份验证。

外部帐户绑定身份验证

外部账户绑定(EAB)通过您的Gworg®账户将您的ACME客户端安全地连接到Sectigo证书颁发机构(CA)。在初始设置期间，您需要提供从Gworg®控制面板生成的密钥标识符和HMAC密钥。此一次性身份验证步骤授权您的ACME客户端请求和重新颁发Sectigo通配符SSL证书。

对于跨多个服务器或环境的通配符部署，您可以为每个部署上下文生成单独的外部帐户绑定(EAB)凭据。这使您的团队能够清晰地了解哪些系统正在管理通配符SSL证书，并在特定服务器或环境停用时简化凭据轮换。

DNS-01验证通配符SSL证书

通配符SSL证书仅通过DNS-01验证，这要求您的ACME客户端在您域名的域名系统(DNS)区域中创建一个临时TXT记录。Sectigo证书颁发机构(CA)会查询此记录以确认您对基础域名拥有控制权，并在验证成功后颁发涵盖*.yourdomain.com的通配符SSL证书。

DNS-01验证具有一个显著优势：它不需要您的Web服务器公开访问。这使其非常适合保护防火墙后、私有网络内或不暴露于互联网的测试环境中的子域名。您的ACME客户端通过与提供商API集成，自动创建域名系统(DNS)记录，无需人工干预即可完成整个过程。

应对未来有效期缩短的问题

CA/浏览器论坛已强制规定逐步缩短SSL证书的有效期，这将影响包括Sectigo在内的所有证书颁发机构（CA）。最长有效期将从2026年3月起降至200天，从2027年3月起降至100天，并从2029年3月起降至47天。对于保护跨多个服务器的整个子域名基础架构的通配符SSL证书而言，频繁的手动重新颁发将造成重大影响。

手动管理的通配符SSL证书每47天需要重新颁发一次，这意味着每年大约需要重新颁发八次。每次重新颁发都需要生成证书签名请求(CSR)、进行DNS-01验证，并在托管子域名的所有服务器上重新安装证书。Sectigo®CaaSDV+通配符证书采用ACME自动化功能，能够静默可靠地处理每次重新颁发周期，确保您的子域名基础架构始终受到保护，不受证书有效期长短的影响。

所有子域均采用强大的加密技术

Sectigo®CaaSDV+Wildcard在所有子域上均采用一致的256位对称加密，并实施2048位RSA加密。它完全支持传输层安全协议(TLS)1.2和传输层安全协议(TLS)1.3，确保与所有现代浏览器和设备兼容。

每个子域都受益于SHA-256哈希算法、完美前向保密性和证书透明度日志记录。椭圆曲线密码学(ECC)密钥类型也适用于需要更短密钥长度和更快加密操作的部署。

50万美元信赖方担保

每张Sectigo®CaaSDV+通配符SSL证书都包含50万美元的信赖方担保，涵盖您域名下的所有受保护子域名。结合可通过API自动化访问的无限次重新颁发权限，此担保提供全面的财务保障。

Sectigo®信任印章

在所有子域名上显示Sectigo®信任印章，以实时显示验证状态。信任印章上带有全球知名的Sectigo品牌标识，可立即获得来自全球访客和企业熟知且信赖的证书颁发机构(CA)的信誉。

DevOps和基础设施集成

Sectigo®CaaSDV+通配符证书通过在基础设施部署期间自动配置通配符SSL证书，与现代DevOps工作流程无缝集成。使用Ansible、Terraform、Puppet或CloudFormation的团队可以将Sectigo通配符SSL证书管理集成到其部署模板中，从而确保开发、测试和生产环境中子域安全性的一致性。

该API支持对SSL证书过期情况进行实时监控、自动触发重新颁发以及跨动态子域架构的安全合规性跟踪。使用cert-manager的Kubernetes团队可以将Sectigo通配符SSL证书作为原生集群资源进行管理，而平台工程团队可以自动为临时预览环境和功能分支子域部署SSL证书。

99.9%浏览器识别率

Sectigo根证书几乎嵌入到当今使用的所有浏览器和操作系统信任库中。这意味着，您的Sectigo®CaaSDV+通配符SSL证书保护的每个子域名都受到99.9%的网络浏览器和所有主流移动平台（包括iOS和Android）的信任。

无限服务器许可

您可以将Sectigo通配符SSL证书部署到无限数量的服务器上，不受许可限制。对于通配符部署，如果同一个*.yourdomain.comSSL证书需要同时安装在Web服务器、应用服务器、负载均衡器和容器节点上，无限许可模式可以消除每个服务器的成本和管理复杂性。

自动化安装

通过ACME客户端自动化流程，即可完全安装您的Sectigo通配符SSL证书。客户端将生成您的证书签名请求(CSR)、完成DNS-01验证、从Sectigo获取已颁发的通配符SSL证书，并将其配置到您的服务器上。此自动化工作流程支持Apache、Nginx、MicrosoftInternetInformationServices(IIS)、云平台以及包括Kubernetes在内的容器编排系统。

指南和资源

Gworg®提供全面的指南和资源，帮助您充分利用Sectigo®CaaSDV+通配符SSL证书。详细文档涵盖ACME客户端设置、DNS-01质询配置、外部帐户绑定(EAB)凭据以及通配符部署最佳实践。有关特定客户端的说明，例如配置DNS插件或安排自动重新颁发，您还应参考所选ACME客户端提供的官方文档。

Sectigo®CaaSDV+通配符的理想用例

需要从全球认可的证书颁发机构(CA)获取通配符SSL证书以满足合规性、审计或策略要求的组织可以通过CaaS平台自动配置Sectigo通配符证书。分配客户子域名（例如client.yourdomain.com）的SaaS平台可以受益于自动保护，该保护功能可在创建每个新客户子域名时立即生效。

大型托管服务提供商在共享域名下管理数百个客户子域名时，可以自动颁发和重新颁发通配符SSL证书，无需为每个子域名进行额外管理。在Kubernetes集群上运行容器化微服务架构的组织可以通过cert-manager实现Sectigo通配符SSL证书的自动化管理，而触发特性分支部署的持续集成管道则可以为每个预览环境自动保护子域名。

使用Sectigo实现子域名安全自动化

Sectigo®CaaSDV+通配符证书将业界领先的证书颁发机构(CA)的全球信誉与通过ACME协议实现的自动化通配符SSL证书管理相结合。广泛的ACME客户端兼容性、无缝的外部帐户绑定(EAB)身份验证以及DNS-01自动化功能，确保您的整个子域基础架构始终受到保护。

无论您是在动态云环境中实现通配符SSL证书的自动化配置，还是为SaaS平台扩展的子域名架构提供安全保障，Sectigo®CaaSDV+通配符都能提供来自全球可信证书颁发机构(CA)的企业级通配符保护。

最热门问题

了解Sectigo®CaaSDV+通配符SSL证书，这是一款由全球最大的证书颁发机构(CA)提供的API驱动的通配符解决方案，可为管理动态基础架构的组织提供自动化的子域和根域安全保护。

什么是Sectigo®CaaSDV+通配符证书？它们适用于哪些用户？

Sectigo®CaaSDV+通配符SSL证书是一款基于API的通配符SSL证书，由Sectigo证书颁发机构(CA)提供支持，并通过Gworg®证书即服务(CaaS)平台交付。它专为运营大规模子域名基础架构的组织、管理动态环境的DevOps团队以及需要从全球认可的证书颁发机构(CA)实现自动化通配符SSL证书控制的企业而设计。

通配符SSL证书涵盖哪些域名？

Sectigo®CaaSDV+通配符可保护*.yourdomain.com下的无限子域名，同时也能保护根域名yourdomain.com本身。保护范围会自动扩展到所有现有子域名以及您将来创建的任何新子域名。当您向基础架构添加新子域名时，无需申请额外的SSL证书或重复验证。

通配符的SSL证书许可模式是如何运作的？

购买Sectigo®CaaSDV+通配符SSL证书，即购买一个有效期固定的SSL证书许可。在许可有效期内，您的ACME客户端会在通配符SSL证书即将到期时自动续期，从而根据您剩余的许可有效期延长已安装SSL证书的有效期。您只需购买一次，所有子域名即可在许可有效期内持续受到保护。

通配符许可证可以在不重新安装任何软件的情况下延长吗？

是的。当您的许可证即将到期时，您可以无需在任何服务器上重新安装或重新配置即可延长或续订许可证。延长的许可证有效期将自动生效，您的ACME客户端将继续在所有子域上像往常一样获取通配符SSL证书。无需更新外部帐户绑定(EAB)凭据或修改域名系统(DNS)配置。

为什么通配符SSL证书需要DNS-01验证？

通配符SSL证书仅通过DNS-01挑战进行验证，因为证书颁发机构(CA)需要确认对基础域名的控制权，而不是特定服务器的控制权。您的ACME客户端会在您的域名系统(DNS)区域中创建一个临时TXT记录，证书颁发机构(CA)会查询该记录以验证所有权。许多ACME客户端都内置了与Cloudflare、AWSRoute53和GoogleCloudDNS等域名系统(DNS)提供商的集成，可实现全自动的记录管理。

哪些ACME客户端支持通配符SSL证书？

所有支持DNS-01挑战的主流ACME客户端均可与Sectigo®CaaSDV+通配符配合使用。Certbot搭配DNS插件是目前应用最广泛的选择。acme.sh客户端支持超过150个域名系统(DNS)提供商API。Cert-manager将通配符颁发作为原生Kubernetes集群资源进行处理。Win-acme和CertifyTheWeb支持MicrosoftInternetInformationServices(IIS)环境，而lego、dehydrated和Posh-ACME则提供了更多选择。

缩短有效期将如何影响通配符SSL证书？

CA/浏览器论坛已强制规定，自2026年3月起SSL证书有效期缩短至200天，自2027年3月起缩短至100天，自2029年3月起缩短至47天。按照47天的间隔计算，通配符SSL证书每年大约需要重新颁发八次。借助证书即服务(CaaS)和ACME自动化功能，每次重新颁发都将在您的许可期限内由您的ACME客户端自动完成，无需任何人工干预。

Sectigo®CaaSDV+Wildcard包含哪些保修服务？

每张Sectigo®CaaSDV+通配符SSL证书都包含50万美元的信赖方担保，涵盖您域名下的所有受保护子域名。该SSL证书还包含Sectigo®信任印章、通过API自动化实现的无限次重新颁发权限，以及可在您整个基础架构中部署的无限服务器许可。