acme.sh 申请了 *.xx.com 泛证书， sub.xx.com 可以，但是 sub.sub.xx.com 提示证书无效

没有这个功能。

@msg7086 那么支持 3 级，能 *.*.xx.com 这样吧?

应该不行吧

@manami 通配符只能出现一次，可以 *.sub.xx.com 去申请
但是我下面有无数个三级域名出现的网站 都想用证书，怎么办

*.xx.com 不包含 *.aa.xx.com 的。。

@herozzm #3 你有两个方法可以选择：
1. 重新规划你们的域名使用
2. 多申请几个类似于 *.sub.xx.com 这样的证书

二选一，没有第三种了。

要手动去给二级域名再去申请

1. *.aa.com 和*.sub1.aa.com 不存在包含和被包含的关系
2. 目前还不存在类似*.*.aa.com 的多级泛域名证书，但在同一个证书里可以包含多个（泛）域名，如*.aa.com\*.sub1.aa.com\*.sub2.aa.com 可以签发为同一个证书。

有几个方案可以参考：
1. 如果 sub 这一级是有限的，可以考虑签发多个单级泛域名在同一证书
2. 调整域名规划，如 sub 不作为一级而最为一个后缀-sub1
3. 不使用泛域名证书，在 web 服务器上配置自动签发，配置新域名即自动签发该域名的证书

你可以给你的二级域名申请一个泛域名证书 *.sub.xx.com

搭车稳下 CF 的 dns,我申请*.xx.com 不成功 xxx.xx.com 单二级域名可以...是什么回事啊..
腾讯云阿里云的都没问题..

还有就是用 dns alias,使用阿里云的 dns 就是没成功过....有人用过这个方式么

@stille 我都用过，没问题
```shell
# 阿里云设置 AccessKey 变量
export Ali_Key="你的 key"
export Ali_Secret="你的 Secret"

# 设置域名变量
domain="4008480871.com"

# 阿里云执行命令
acme.sh --issue --force --dns dns_ali -d $domain -d "*.$domain" -k ec-256

mkdir /etc/nginx/conf.d/ssl/$domain
acme.sh --install-cert -d $domain --ecc \
--key-file /etc/nginx/conf.d/ssl/$domain/domain.key \
--fullchain-file /etc/nginx/conf.d/ssl/$domain/fullchain.cer \
--reloadcmd "docker exec -itd nginx service nginx force-reload"

@herozzm 我说的是 dns alias,也就是阿里云我有管理权 有 Key 和 Secret.和域名 aaa.com

然后腾讯云有 2 个域名,可以自己做解析,但是因为特殊原因无法使用 api...参照官方文档做 CNAME 到 aaa.com 使用 dns alina 功能...没成功

这个没弄过
@stille

没有，let's encrypt 官方文档有提到过

肯定不行啊

@stille cloudflare 免费版本不支持三级域名的证书

@anubu 正解

巧了我也碰到类似的问题了