证书核心概念
多域名SSL证书(SAN/UCC证书)允许在单个证书中保护多个域名,显著简化证书管理流程。该证书支持包括主域名及其子域名在内的多主体扩展机制,通过CSR请求文件集中管理所有需要加密的域名。
自动化生成流程
使用OpenSSL工具链实现批量生成:
- 创建CA根证书私钥:
openssl genrsa -out ca.key 4096 - 生成CSR请求文件时添加SAN扩展:
openssl req -new -sha256 -key server.key -out server.csr -addext "subjectAltName=DNS:domain1,DNS:domain2" - 使用自动化脚本批量签发证书,设置20年有效期参数
服务器配置要点
主流Web服务器配置规范:
server {
listen 443 ssl;
server_name domain1.com domain2.net;
ssl_certificate /path/to/multidomain.crt;
ssl_certificate_key /path/to/private.key;
ssl_trusted_certificate /path/to/ca_bundle.crt;
}需特别注意证书链文件的完整拼接,避免浏览器告警。
部署验证方法
完成配置后的验证步骤:
- 使用Qualys SSL Labs在线检测工具
- 检查所有保护域名的HTTPS状态码
- 验证证书链完整性:
openssl verify -CAfile ca_bundle.crt multidomain.crt
实施结论
通过标准化工具链和自动化脚本,可在30分钟内完成包含5个域名的证书签发与部署。建议使用Let’s Encrypt实现90天周期的自动续签,同时注意私钥文件的访问权限设置。
