怎样配置Linux多域名证书？附操作指南

在开始配置Linux多域名SSL证书前，需要确认系统环境是否满足基本要求。应确保服务器已安装Nginx或Apache Web服务器，并具备root权限或sudo权限来执行配置文件修改。同时需要准备已申请的SSL证书文件，包括证书文件(.crt或.pem)和私钥文件(.key)，这些文件通常可从证书颁发机构处下载获得。

证书文件需上传至服务器安全目录，推荐存放路径为/etc/ssl/cert/。如果使用OpenSSL工具生成CSR文件，务必妥善保管本地私钥文件，因为私钥遗失将导致证书无法使用。还需确认服务器防火墙已开放443端口，以便HTTPS流量正常通行。

Nginx多域名证书配置方法

Nginx是配置多域名SSL证书最常用的Web服务器之一。配置文件通常位于/usr/local/nginx/conf/nginx.conf路径下，具体位置可能因安装方式有所不同。

配置多个域名

通过server_name指令配置多个域名，每个域名需要独立的server配置段落：

nginx
server {
listen 80;
server_name domain1.com;
location / {
root /var/www/domain1;
index index.html;
server {
listen 80;
server_name domain2.com;
location / {
root /var/www/domain2;
index index.html;

绑定SSL证书

以下是以阿里云免费SSL证书为例的配置过程：

• 在服务器上创建证书存储目录：/usr/local/nginx/ssl/
• 上传证书文件至该目录
• 修改nginx.conf配置文件，为每个域名添加SSL支持

完整的SSL配置示例如下：

nginx
server {
listen 443 ssl;
server_name domain1.com;
ssl_certificate /usr/local/nginx/ssl/domain1.crt;
ssl_certificate_key /usr/local/nginx/ssl/domain1.key;
location / {
root /var/www/domain1;
index index.html;

Apache多域名SSL配置方案

Apache服务器同样支持多域名SSL证书配置，但配置方式与Nginx有所不同。关键是要为每个虚拟主机配置独立的SSL证书。

生成证书链

使用OpenSSL工具为每个域名生成证书：

bash
# 创建根证书
openssl req -x509 -newkey rsa:4096 -sha256 -days 365000 -nodes \
-keyout rootCA.key -out rootCA.crt \
-subj “/C=CN/ST=Beijing/L=Beijing/O=Company Root CA/CN=Company Root CA
# 为每个域名生成证书
for domain in www file img; do
# 创建私钥
openssl genrsa -out $domain.key 4096
# 创建CSR
openssl req -new -key $domain.key -out $domain.csr \
-subj “/C=CN/ST=Beijing/L=Beijing/O=Company Name/CN=$domain.company.com” \
-reqexts SAN \
-config <(printf "[SAN]
subjectAltName=DNS:$domain.company.com,DNS:www.$domain.company.com")
done

这种方法可以快速为多个域名生成SSL证书，特别适合内部测试环境使用。

WDCP控制面板配置方法

对于使用WDCP控制面板的用户，配置多域名SSL证书更加简便。WDCP v3.2版本默认采用nginx+apache引擎，用户可通过图形界面完成配置。

WDCP v3.2配置步骤

• 登录WDCP控制面板，点击”网站管理” → “SSL证书管理”
• 上传证书文件(.crt和.key)，证书名称需与站点域名保持一致
• 进入”站点列表”编辑相应站点，直接启用SSL功能即可

注意：如果证书文件列表包含domain.com.cer、domain.com_ca.crt、domain.com.key，需要先合并证书文件，将.cer文件内容复制到.crt文件头部，保存后重命名为domain.com.crt

DNS解析与域名绑定

正确配置DNS解析是实现多域名SSL证书的关键前置步骤。可通过两种方法实现域名解析：

• DNS服务器配置：在DNS主配置文件/etc/named.conf中添加相应区域，并编辑区域数据文件添加主机记录
• 本地hosts文件配置：修改/etc/hosts文件，添加域名与IP地址的映射关系，格式为”IP地址 域名”

配置完成后，可使用nslookup或ping命令验证DNS解析是否正确：

bash
ping domain1.com
nslookup domain2.com

OpenSSL签署多域名证书

使用OpenSSL工具可以自行签署多域名SSL证书，适用于测试环境或内部系统。核心步骤包括修改openssl.cnf配置文件。

主要修改内容为在commonName前添加序号：

text
0.commonName = Common Name (eg, your name or your server’s hostname)
0.commonName_max = 64
1.commonName = other Common Name
1.commonName_max = 64

证书验证与故障排除

配置完成后，需要进行全面测试以确保SSL证书正常工作：

如遇配置问题，可重点检查证书文件路径是否正确、私钥文件是否匹配、防火墙设置是否允许443端口访问等常见问题。