基本概念与准备工作
泛域名SSL证书(通配符证书)可保护主域名及所有二级域名(如 *.example.com),需通过DNS验证所有权。申请前需准备:
- 拥有域名解析权限的管理账号
- 服务器环境访问权限(用于证书安装)
- 选择可信的证书颁发机构(CA)
主流免费方案包括JoySSL的永久免费通配符证书和Let’s Encrypt的90天有效期证书。
手动申请流程
以JoySSL为例的操作步骤:
- 访问官网注册账号,输入申请码230925获取权限
- 创建CSR文件并提交证书申请
- 通过DNS解析添加CNAME记录完成域名验证
- 下载证书文件并部署到服务器
手动安装需注意证书文件格式与服务器类型的匹配,例如Nginx需要将证书链合并为fullchain.pem文件。
自动申请与续期
使用acme.sh脚本实现自动化:
# 安装工具
curl https://get.acme.sh | sh
# 配置DNS API密钥
export DP_Id="YOUR_ID
export DP_Key="YOUR_KEY
# 签发证书
acme.sh --issue --dns dns_dp -d example.com -d *.example.com该方案通过DNSPod等支持的DNS服务商API自动完成验证,配合crontab可实现自动续期。
方法对比与建议
| 维度 | 手动申请 | 自动方案 |
|---|---|---|
| 技术门槛 | 需掌握DNS解析操作 | 需熟悉命令行工具 |
| 维护成本 | 需手动更新证书 | 自动续期免维护 |
| 适用场景 | 单次部署/测试环境 | 生产环境长期使用 |
推荐个人用户选择JoySSL的图形化界面操作,技术团队建议采用acme.sh实现自动化管理。
泛域名证书的部署需要根据实际需求选择方案:手动申请适合快速验证场景,自动续期方案能有效降低运维负担。无论选择哪种方式,都应定期检查证书状态并遵循HTTPS安全配置最佳实践。
