如何为子域名配置SSL证书及快速解析步骤？

在开始配置前，需要确保您已拥有主域名和运行中的服务器。首先应检查服务器环境，确认Nginx是否安装及防火墙状态。通过命令行输入nginx -v可检查Nginx版本，使用systemctl status firewalld可确认防火墙规则是否会影响后续访问。

二、选择SSL证书类型

针对子域名的安全需求，主要有三种SSL证书类型可选：

• 域名验证(DV)证书：仅验证域名所有权，适合个人网站或博客
• 组织验证(OV)证书：增加组织身份验证，适用于企业网站
• 增强验证(EV)证书：提供最高级别验证，多用于金融、电商等高安全需求场景

三、申请SSL证书

以阿里云平台为例，登录控制台后进入域名管理页面，找到需要申请证书的域名，点击管理进入基本信息页面。选择”单域名免费证书”选项，避免选择需付费的DV证书。申请时需填写相关信息，验证方式可选择DNS验证或文件验证。若选择DNS验证，需添加TXT记录进行验证，成功后提交审核即可获取证书。

四、配置域名解析

在阿里云云解析控制台中，切换到”域名解析”菜单并点击”解析设置”。点击”添加记录”，记录类型选择”A-将域名指向一个IPV4地址”，主机记录填写子域名前缀(如”test”)，最终生成的域名即为test.ufrontend.com。记录值应填写子域名对应的服务器IPV4地址，完成设置后通常几分钟内即可生效。

五、配置Web服务器

在宝塔面板中添加站点信息，填写已设置好的子域名并提交。对于Nginx服务器，需要创建专门的配置文件，通常位于/etc/nginx/conf.d/目录下。配置文件应包含HTTP到HTTPS的重定向设置：

server {
listen 80;
server_name www.xy.com.cn xy.com.cn;
return 301 https://$server_name$request_uri;

六、安装SSL证书

在阿里云数字证书管理服务控制台中，进入”SSL证书”-“免费证书”页面，点击”创建证书”。创建成功后列表会出现”待申请”记录，点击”证书申请”并填写相关信息。证书申请成功后，选择适用于Nginx服务器的证书进行下载。

七、部署SSL证书到服务器

将下载的证书文件上传至服务器指定目录，如/etc/nginx/ssl/xy.com.cn/。证书文件通常包括域名证书文件(.crt)和私钥文件(.key)。返回宝塔面板，找到站点设置中的SSL配置页面，用文本编辑器分别打开证书文件和私钥文件，复制内容粘贴到对应文本框内保存。

八、启用HTTPS强制跳转

在Nginx配置文件的HTTPS服务器块中添加SSL证书路径：

• ssl_certificate /etc/nginx/ssl/xy.com.cn/www.xy.com.cn.crt
• ssl_certificate_key /etc/nginx/ssl/xy.com.cn/www.xy.com.cn.key

同时配置SSL协议版本和加密套件，建议使用TLSv1.2及以上版本。保存配置后重新加载Nginx服务，使用sudo service nginx restart命令使配置生效。

完成上述步骤后，在浏览器中输入子域名访问网站，地址栏将自动显示HTTPS前缀及锁形图标，表明SSL证书已成功部署并启用加密传输。至此，子域名的SSL证书配置与解析全部完成。