嗨，这个问题我之前帮好几个开发者朋友排查过，咱们先把根儿上的原因说透，再给你几个实用的解决办法～

为什么二级子域名会验证失败？ #

按照SSL证书的国际标准（RFC 2818），你手里的*.mydomain.com格式通配符证书，其中的*通配符只能匹配域名中的单个标签——这里的「标签」指的是域名里用点分隔开的独立部分，比如forum.mydomain.com里，forum是一个标签，mydomain.com是主域名。

所以*.mydomain.com的覆盖范围严格限定为「任意单个标签.mydomain.com」，像forum.mydomain.com、www.mydomain.com这类一级子域名都能正常匹配，但www.forum.mydomain.com里的www.forum是两个连续的标签，完全超出了这个通配符的匹配规则，Chrome浏览器会严格按照标准判定证书不匹配，自然就会弹出证书无效的提示。

可行的解决办法 #

• 申请支持多级通配的证书
  部分CA（证书颁发机构）提供多级通配符证书，格式一般是*.*.mydomain.com，这类证书可以覆盖所有二级子域名层级（比如www.forum.mydomain.com、blog.admin.mydomain.com等）。不过要注意，不同CA的多级通配规则可能有差异，申请前最好和服务商确认清楚具体的覆盖范围，另外这类证书的成本通常比普通单通配证书高一些。
• 利用SAN扩展字段添加指定二级子域名
  如果你不需要覆盖所有二级子域名，只是特定的几个（比如固定的www.forum.mydomain.com、store.admin.mydomain.com），可以给现有证书添加SAN（Subject Alternative Name）扩展字段，把这些具体的二级子域名逐一列进去。这样既能保留原*.mydomain.com对一级子域名的覆盖，又能通过SAN指定需要的二级子域名，灵活性更高，成本也相对可控。
• 为二级子域名单独申请独立证书
  如果你的二级子域名业务独立性较强，也可以给每个需要的二级子域名单独申请SSL证书，比如专门给www.forum.mydomain.com申请独立证书。这种方式的优势是权限更细分，安全性更高（某个子域名的证书出问题不会牵连其他域名），但缺点是需要维护多个证书的续期、部署工作，管理成本会高一点。

备注：内容来源于stack exchange，提问作者user1118764