O que você está procurando são SAN (também conhecido como UCC), Wilcard Certs ou SNI.
- SAN = nome alternativo do assunto. Os certificados são emitidos para Subject, que são mais comumente Common Names (CN), como "www.example.com". Os certificados podem ter nomes alternativos.
- O problema é que você precisa nomear cada um deles. Como "a1.exemplo.com", "a2.exemplo.com", "b1.exemplo.com".
- O benefício é que a maioria dos provedores oferece essa solução muito barata e quase todos os softwares habilitados para SSL os suportam bem.
- Certices curinga são como soam, até certo ponto. Você pode obter um certificado curinga para "* .example.com" e ele cobrirá "anything.example.com" para "zebra.example.com".
- O benefício é que você pode usar um certificado para subdomínios ilimitados de um único domínio.
- Há duas grandes desvantagens. Um, você só tem um curinga, então só pode ser para um domínio. Dois, o curinga se aplica apenas ao nível em que aparece. Portanto, se você obtiver um certificado curinga como descrito acima, ele não funcionará para "level.two.example.com"
- SNI = Indicador do nome do servidor. É uma nova tecnologia que permite que um servidor da Web use vários certificados no mesmo endereço e porta. Normalmente você só pode usar 1 certificado em um IP: Port tupple. Se você quiser usar várias certificações, você deve usar vários IPs ou várias portas (as portas tendem a não funcionar bem, pois você precisa especificar explicitamente a porta na URL, e nenhum usuário comum saberia digitar um número de porta ou até como).
- O bom: você pode usar qualquer combinação dos certificados já mencionados no mesmo servidor. Isso torna bastante fácil hospedar tudo o que você mencionou na Pergunta.
- O ruim: Pouquíssimos softwares de servidor o suportam, a maioria dos principais servidores da Web o suportam em suas versões mais recentes, mas nem todos, e fora dos servidores da Web, é muito raro.
- O pior: Quase nenhum cliente suporta SNI, exceto a última geração de navegadores da Internet. A menos que você possa especificar para seus clientes que eles devem ter um navegador da Web atualizado, e esses clientes realmente cumprirão, isso não é uma opção por outros 2-4 anos.
O que é certo para você? Você provavelmente vai ser um maluco com alguns certificados curinga em vários IPs agora. Realmente não há opção muito melhor ainda. No final, alguns fornecedores de certificados oferecem alguns certificados wildcard bem baratos; Eu uso link porque eles são muito baratos e funcionam.