一、选择证书类型
多域名SSL证书通过SAN(主题备用名称)扩展字段支持多个主域名或子域名,单个证书最多可保护250个域名。对于动态扩展的子域名群组,通配符证书(*.example.com)能覆盖同一主域名下的所有子域名。
推荐选择支持以下功能的证书类型:
- 多域名SAN证书:适用于不同顶级域名(如example.com、example.net)
- 通配符证书:适合统一主域名的子域名集群
- 混合型证书:同时支持多域名和通配符
二、生成多域名证书
使用OpenSSL生成自签名证书的流程:
- 生成CA私钥:
openssl genrsa -out ca.key 2048 - 创建证书请求:
openssl req -new -key server.key -out server.csr,在CN字段填入主域名 - 编辑openssl.cnf文件,在
[ alt_names ]段落添加所有备用域名 - 签发证书:
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -out server.crt -days 365
Java环境可使用keytool生成证书,需在CSR中显式声明所有域名。
三、配置服务器应用
以Nginx为例的配置要点:
server {
listen 443 ssl;
server_name domain1.com domain2.net;
ssl_certificate /path/to/multidomain.crt;
ssl_certificate_key /path/to/private.key;
# 强制HTTPS跳转
if ($scheme != "https") {
return 301 https://$host$request_uri;
}需将证书文件部署在/usr/local/nginx/ssl目录,并确保SSL模块已编译。
四、验证证书有效性
通过以下工具进行验证:
- 浏览器证书检查:查看证书详情中的SAN列表
- OpenSSL命令:
openssl x509 -in cert.crt -text -noout - 在线检测平台:SSL Labs Server Test
需注意证书有效期(通常为1年)并设置自动续期提醒。
通过合理选择证书类型、规范生成流程、正确配置服务器参数以及建立验证机制,可高效实现多域服务器的SSL证书管理。建议采用自动化工具监控证书状态,确保持续的安全防护能力。
