最新下载
热门教程
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
Nginx 内 server 块多域名共享 SSL 证书配置方案
时间:2026-07-11 09:04:51 编辑:袖梨 来源:一聚教程网
核心是使用SAN或通配符证书,共用单个server块并显式列出所有域名;SAN证书需包含全部目标域名,通配符仅支持一级子域且根域须单独加入SAN;证书链必须完整,配置后需nginx -t验证并重载。
在 Nginx 中让多个域名共用同一张 SSL 证书,核心是使用多域名证书(SAN 证书)或通配符证书,而非为每个域名配置独立 server 块和证书。这种方式更轻量、易维护,适合子域统一管理或少量主域共用场景。
适用证书类型与覆盖范围必须匹配
共用证书的前提是证书本身支持所有目标域名:
-
SAN(Subject Alternative Name)证书:申请时明确列出全部域名,如
example.com、www.example.com、shop.example.com、api.another-site.net—— 无层级限制,但每个域名需显式声明 -
通配符证书(*.example.com):仅匹配单层子域,如
www.example.com、blog.example.com;不匹配example.com(根域)或dev.api.example.com(二级子域),除非额外加入这些到 SAN - 根域必须显式包含:若需同时支持
example.com和www.example.com,证书中须同时存在这两个条目,不能仅靠通配符
单 server 块内配置多个域名与统一证书路径
所有共用证书的域名写在同一 server 块中,server_name 列出全部域名,ssl_certificate 和 ssl_certificate_key 各指定一次:
server { listen 443 ssl http2; server_name example.com www.example.com shop.example.com api.another-site.net;<pre class="brush:php;toolbar:false;">ssl_certificate /etc/nginx/ssl/multi-domain.pem; # 含完整链:域名证书 + 中间 CAssl_certificate_key /etc/nginx/ssl/multi-domain.key;# 其他 HTTPS 参数(可复用)ssl_protocols TLSv1.2 TLSv1.3;ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:...;ssl_prefer_server_ciphers off;ssl_session_cache shared:SSL:10m;ssl_session_timeout 10m;location / { root /var/www/example; index index.html;}
}
⚠️ 注意:不要在一个块里重复写多个 ssl_certificate —— Nginx 只加载最后一条,其余无效。
HTTP 跳转与证书链完整性检查
为提升可用性与安全性,建议补充:
- 为所有共用域名添加 80 端口跳转块(可合并):
server { listen 80; server_name example.com www.example.com shop.example.com api.another-site.net; return 301 https://$host$request_uri;}
- 验证证书链是否完整:用
openssl x509 -in multi-domain.pem -text -noout | grep -A1 "Subject Alternative Name"确认所有域名出现在 SAN 字段 - 检查私钥是否未加密:
openssl rsa -in multi-domain.key -check -noout,生产环境不应提示输入密码
验证与常见问题排查
配置生效后,用以下方式确认实际返回的是预期证书:
- 终端验证(替换域名):
openssl s_client -connect your-server-ip:443 -servername example.com -showcerts 2>/dev/null | openssl x509 -noout -subject - 浏览器访问各域名,点击地址栏锁图标 → 查看证书 → 检查“颁发给”和“别名”是否包含当前域名
- 失败常见原因:证书未含某域名、PEM 文件漏中间证书、路径拼写错误、Nginx 未 reload(
nginx -t && nginx -s reload)