就是我使用 Let's Encrypt 给一个域名签发了证书，比如 example.com 这个主域名，签发时我输入的域名为：*.example.com , 但是我使用 edge 浏览器访问 example.com 死活报不安全，也没有锁图标显示，但是看证书信息签发都正常的，日期也是正常的，我换个浏览器访问主域名，可以正常显示，不提示不安全，访问相应的二级域名：a.example.com 也没有问题，我就奇了怪了，edge 为啥不行，cookie 和缓存都清了，隐身模式也不行，是非要在签发时输入主域名和泛域名才行吗？望知道的大佬指点下，再次谢过。

是

example.com
*.example.com

直接签两个不就好了

要签两个
-d a.com -d "*.a.com"

我换个浏览器访问主域名，可以正常显示，
这是哪个浏览器？确定停用缓存刷新一下还是可以访问吗？可以访问才有问题，泛域名一直都不包含主域名，

应该是浏览器自动补全了 www.
楼主又一知半解

example.com
*.example.com
这是两个域名，所有权不一样

泛域名不包含主域名，要签两个的

火狐和 chrome

复制出来，没有 www 的

除了 egde ，其他浏览器可以

搜了几篇文档，都说泛域名包括主域名

＃11 说归说，每个浏览器的具体实现能一样嘛

*.example.com 匹配 a.example.com ，但是不匹配 b.a.example.com 和 example.com

直接对比 edge 和其他 浏览器获取到的证书哈希，看是不是同一张证书。先排除是不是证书问题

现场测试，查查自己电脑环境吧
imgur.com/WXbygxf
imgur.com/Ks0T2hM

测试的 edge 也是一样的

先要搞清楚证书的类型，普通通配域名你需要签两个 example.com *.example.com

www.wosign.com/column/ssl_20211231.htm

虽然不知道原理，但是 C F 上生成 server origin 证书时，*.example.com 和 example.com 是分开显示的，所以我推测这个东西需要两个都要单独签

＃15

谢谢各位了，我还是都签吧，就是不知道为啥火狐可以。

这么说 edge 的实现还挺安全的

真要深入，你不应该复制，而应该抓包，看浏览器发送出去的是啥

你认真看下 Let's Encrypt 文档,我记得首页就有域名匹配规则

通配符证书所采用的“通配符”与文件匹配的采用的通配符规则类似：

• 这个字符就是一个通配符，他在域名匹配模式中表示 0 到任意长度的合法字符
  . 在正则表达式里面表示任意字符，但在域名匹配所采用的普通通配符模式中 . 就是一个普通字符，就表示半角的“点”本身。

*.example.com 其中有个“.”，就注定了它无法匹配到 example.com 这个主域名。

不过，一般稍微正规一的证书机构在签发通配符证书时，即使客户不懂，没有要求，他们也都会在 SAN 中添加上主域名本身，也就是说一般正规机构签发的证书都会支持 example.com 和 *.example.com 两个域名。

但由 ACME 客户端签发的 LE/ZeroSSL/GTS 免费证书，默认情况下不会为你贴心地考虑这个问题，你都选择免费证书了，要求你点动手能力不过分吧，你得主动在申请中同时添加两个域名才行。

原理没那么复杂，就是直接看域名是否匹配

.example.com 里面 表示任意字符（不包括 .）
再把 example.com 去匹配一下 *.example.com ，可以发现很明显就是不匹配的

example.com = .example.com
www.hesudu.com = .www.hesudu.com
hesudu.com = .hesudu.com