【已回应】SSL通配符证书的申请问题（Let's Encrypt）

最近发现个问题，不知道是机制问题，还是个BUG，举例说明下有5个域名使用a.abc.com / b.abc.com / c.abc.com / a1.a.abc.com / a2.a.abc.com

用面板的SSL功能，申请a.abc.com的通配符证书为 *.abc.com 部署在b.abc.com和c.abc.com都正常

*.abc.com分配给a1.a.abc.com会提示证书错误
为a1.a.abc.com重新申请域名，点了自动申请通配符域名，结果没有申请到  *.a.abc.com ，还是使用了*.abc.com

现在的问题是Let's Encrypt的机制是否可以申请到二级域名的通配符证书 *.a.abc.com，还是因为申请脚本判断问题没有准确申请到

这个应该是不支持的，你可试试其他证书商看看。

搜到了有相关的介绍，供参考，可以申请到二级域名的通配符证书
https://blog.csdn.net/weixin_34378969/article/details/88833995
https://segmentfault.com/a/1190000014727668
两篇参考文章内容相同

Let's encrypt 申请通配域名的方式如下:

• 
  
  certbot certonly --manual \
  
  
• 
  
  -d '*.exampple.com' \
  
  
• 
  
  --agree-tos \
  
  
• 
  
  --email domain@example.com \
  
  
• 
  
  --server https://acme-v02.api.letsencrypt.org/directory
  
  
  

上面是通配的子域名, 只能是 a.example.com形式, 不能是 a.b.example.com 形式. 要使用更下级的子域有几个要点:

• 通配域名必须使用--manual参数, --webroot等其他参数是互斥的,不能同时使用.
  --manual表示通过DNS的TXT记录进行验证, --webroot通过Web服务器的访问进行验证.
• 需要在DNS中添加 b.example.com 的A记录, 这样在 Let's encrypt 发起挑战的时候才能解析到这个域名.

• 需要添加TXT记录 _acme-challenge.b.example.com
  设置了TXT记录后先别急着回车. 先手工验证一下TXT记录有咩有生效

  dig -t txt _acme-challenge.b.example.com
  

成功后

你会看到签发给你的证书的域名是这样的 *.b.example.com, 成功之后, 就可以随便添加你的三级域名了.

• 
  
  x.b.example.com
  
  
• 
  
  y.b.example.com
  
  
• 
  
  z.b.example.com