一、准备工作与证书类型选择
在申请SSL证书前需确保已完成二级域名的DNS解析,指向目标服务器的公网IP地址。通过阿里云、Cloudflare等平台添加A记录完成域名解析。
根据业务需求选择证书类型:
- 单域名证书:适用于单个二级域名(如blog.example.com)
- 通配符证书:保护主域名及其所有二级子域名(*.example.com)
- 多域名证书:同时保护多个不同二级域名
二、使用Certbot快速申请证书
通过Let’s Encrypt的Certbot工具可自动化完成证书申请流程:
- 安装Certbot工具包:
sudo apt-get install certbot python3-certbot-nginx - 执行证书申请命令:
sudo certbot --nginx -d subdomain.example.com - 选择自动配置Nginx或手动验证(DNS TXT记录/文件验证)
整个过程约3分钟完成,系统会自动处理证书签发和Nginx配置更新。
三、Nginx服务器配置示例
在/etc/nginx/conf.d/目录创建子域名配置文件:
server {
listen 443 ssl;
server_name subdomain.example.com;
ssl_certificate /etc/letsencrypt/live/subdomain.example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/subdomain.example.com/privkey.pem;
location / {
proxy_pass http://内网服务器IP:端口;
proxy_set_header Host $host;
server {
listen 80;
server_name subdomain.example.com;
return 301 https://$host$request_uri;
配置完成后执行nginx -t测试语法,systemctl reload nginx重载服务。
四、证书验证与续期管理
通过以下方式确保证书有效性:
- 使用
https://subdomain.example.com访问测试HTTPS锁标志 - 通过SSL Labs等在线工具检测证书链完整性
- 配置crontab自动续期:
0 3 * * * certbot renew --quiet
通过Certbot自动化工具与Nginx配置模板,可在10分钟内为二级域名完成SSL证书部署。建议优先选择通配符证书应对多子域名场景,并通过自动化脚本管理证书续期,确保持续的HTTPS服务可用性。
