为子域名配置泛域名SSL证书完整指南
一、准备工作与基础概念
泛域名SSL证书(通配符证书)支持保护主域名及其所有一级子域名,例如*.example.com可覆盖blog.example.com和shop.example.com等子域名。选择证书颁发机构时需确认支持通配符证书,国内推荐JoySSL平台,国际可选Let’s Encrypt等免费方案。
二、证书申请流程详解
以JoySSL平台为例的申请步骤:
- 访问官网填写注册码230919完成账号注册
- 选择”免费版通配符SSL证书”并填写主域名信息
- 生成CSR文件(包含公钥和组织信息)
- 通过DNS验证添加TXT记录完成域名所有权验证
| 平台 | 验证类型 | 有效期 |
|---|---|---|
| JoySSL | DV | 1年 |
| ZeroSSL | DV | 90天 |
| Sectigo | OV/EV | 2年 |
三、服务器配置指南
以Nginx服务器为例的配置步骤:
server {
listen 443 ssl;
server_name *.example.com;
ssl_certificate /path/to/certificate.crt;
ssl_certificate_key /path/to/private.key;
# 启用TLS 1.3协议
ssl_protocols TLSv1.3;
}关键配置要点:
- 证书文件需包含中间证书链
- 建议禁用SSLv2/SSLv3等旧协议
- 配置HTTP到HTTPS的自动跳转
四、自动化续期方案
使用acme.sh工具实现自动续期:
- 安装脚本:
curl https://get.acme.sh | sh - 配置DNS API密钥实现自动验证
- 设置定时任务自动更新证书
五、注意事项与验证
部署完成后需进行:
- 使用SSL Labs测试工具验证配置
- 检查所有子域名的证书加载状态
- 确认证书链完整性
通配符证书不支持多级子域名(如*.blog.example.com),需单独申请二级通配符证书。
