ssl新闻资讯

搜索热词：

文档中心

ssl新闻资讯

首页/
文档中心/
ssl新闻资讯/
Apache澶氬煙鍚峉SL璇佷功閰嶇疆鎸囧崡鐪侀挶鍙堢渷蹇冪殑HTTPS鍔犲瘑鏂规

Apache澶氬煙鍚峉SL璇佷功閰嶇疆鎸囧崡鐪侀挶鍙堢渷蹇冪殑HTTPS鍔犲瘑鏂规

时间 : 2025-09-27 15:41:18浏览量 : 1

Apache HTTPS

2Apache澶氬煙鍚峉SL璇佷功閰嶇疆鎸囧崡鐪侀挶鍙堢渷蹇冪殑HTTPS鍔犲瘑鏂规

关键词：Apache 多域名SSL证书

一、为什么需要多域名SSL证书？

想象一下你经营一家电商公司，拥有以下域名：

- 主站 `www.yourshop.com`

- 移动端 `m.yourshop.com`

- API接口 `api.yourshop.com`

如果为每个域名单独购买SSL证书，不仅成本高（单域名证书均价约￥500/年），管理起来更是噩梦。而多域名SSL证书（SAN/UCC）可以一张证书覆盖多个域名，比如：

```text

一张证书同时保护：

- www.yourshop.com

- m.yourshop.com

- api.yourshop.com

- even.blog.yourshop.com

```

技术原理：这类证书使用主题备用名称（Subject Alternative Name, SAN）扩展，就像快递单上的"收货人+备用联系人"，浏览器会逐个核对名单。

二、Apache配置实战（以Let's Encrypt为例）

? 场景假设

你的服务器运行Apache 2.4，需要通过Certbot工具申请免费的多域名证书，包含：

1. example.com

2. shop.example.com

? 分步操作

步骤1：安装Certbot

```bash

sudo apt install certbot python3-certbot-apache

Ubuntu/Debian

sudo yum install certbot python3-certbot-apache

CentOS/RHEL

```

步骤2：申请证书（关键步骤！）

sudo certbot --apache -d example.com -d shop.example.com

此时Certbot会：

1. 自动验证你对域名的控制权（通过HTTP文件或DNS记录）

2. 生成包含两个域名的SAN证书

3. 自动修改Apache配置（对比传统手动配置省去80%工作量）

步骤3：验证配置文件

生成的配置通常位于 `/etc/apache2/sites-enabled/example.com-le-ssl.conf`，核心内容如下：

```apacheconf

ServerName example.com

ServerAlias shop.example.com

SSLEngine on

SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem

SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem

其他配置...

三、企业级优化技巧

? HTTP/2性能提升

多域名HTTPS站点务必开启HTTP/2（比HTTP/1.1快50%+）：

Protocols h2 http/1.1

? OCSP装订防隐私泄露

避免浏览器每次访问都向CA查询证书状态：

SSLUseStapling on

SSLStaplingCache "shmcb:logs/stapling-cache(150000)"

? CSP安全头防御劫持

防止HTTPS页面被恶意iframe嵌套：

Header always set Content-Security-Policy "frame-ancestors 'self'"

四、避坑指南

? 错误示范：重复定义VirtualHost

Wrong! 会导致最后一个配置覆盖前面的

SSLCertificateFile /path/to/cert1.pem

ServerName shop.example.com

SSLCertificateFile /path/to/cert2.pem

? 正确做法：所有域名应在同一个VirtualHost中通过ServerName+ServerAlias声明。

? 混合使用通配符和多域名证书

假设你有：`*.example.com` + `api.example.net`

? 通配符只能覆盖同级子域，此时应该选择"多域名+通配符"混合型商业证书。

五、不同场景的证书选型建议

| 需求场景 | 推荐方案 | 年费参考 |

||--|-|

| ≤5个非通配符域名 | Let's Encrypt SAN（免费） | ￥0 |

| 50+企业级域名 | DigiCert Multi-Domain SSL | ￥15,000+ |

| *.domain.com + api.domain.cn | Comodo PositiveSSL Multi-Domain Wildcard | ￥3,000 |

> ?? 行业冷知识：金融类网站必须使用OV/EV型多域名证书，DV证书会被浏览器标记为"低信任度"。

通过合理配置Apache多域名SSL，既能满足安全合规要求，又能大幅降低运维复杂度。现在就去检查你的服务器配置吧！

TAG:apache 多域名ssl证书,ssl证书多个域名,apache配置ssl证书,多域名证书配置