在Certimate项目中实现泛域名证书自动部署到多个二级域名网站

在网站运维管理中，使用泛域名SSL证书（Wildcard SSL Certificate）是一种高效且经济的方式，它可以保护一个主域名及其所有子域名。本文将详细介绍如何在Certimate项目中配置自动部署泛域名证书到同一服务器上的多个二级域名网站。

泛域名证书的基本概念

泛域名SSL证书通常以星号(*)表示，例如*.example.com，它可以保护：

• www.example.com
• blog.example.com
• shop.example.com
• 以及其他任何子域名

部署方案实现

1. 证书申请配置

在Certimate的域名列表中添加顶级域名（如example.com）时，系统会自动申请*.example.com的泛域名证书。这一步骤确保了所有二级域名都能被同一个证书覆盖。

2. 多网站证书部署

当证书申请成功后，可以通过以下方式实现自动部署到多个网站：

方法一：证书文件复制

1. 获取证书文件路径（通常位于/etc/letsencrypt/live/example.com/）
2. 为每个需要证书的网站创建对应的证书存储目录
3. 使用脚本将证书文件复制到各网站目录

示例脚本：

#!/bin/bash
CERT_DIR="/etc/letsencrypt/live/example.com"
WEBSITES=("www" "blog" "shop" "api")

for site in "${WEBSITES[@]}"
do
    mkdir -p "/path/to/${site}/ssl"
    cp "${CERT_DIR}/fullchain.pem" "/path/to/${site}/ssl/"
    cp "${CERT_DIR}/privkey.pem" "/path/to/${site}/ssl/"
    # 重启Web服务器或重新加载配置
done

方法二：符号链接

更高效的方式是创建符号链接，避免重复存储证书文件：

ln -s /etc/letsencrypt/live/example.com/fullchain.pem /path/to/www/ssl/
ln -s /etc/letsencrypt/live/example.com/privkey.pem /path/to/www/ssl/

3. Web服务器配置

对于Nginx服务器，每个网站的配置文件中需要添加类似的SSL配置：

server {
    listen 443 ssl;
    server_name www.example.com;
    
    ssl_certificate /path/to/www/ssl/fullchain.pem;
    ssl_certificate_key /path/to/www/ssl/privkey.pem;
    
    # 其他配置...
}

4. 自动化部署增强

为了实现完全自动化，可以：

1. 在Certimate中设置部署后钩子脚本
2. 脚本自动检测服务器上的所有使用该域名的网站
3. 自动更新证书并重新加载Web服务器配置

注意事项

1. 权限管理：确保证书文件的读取权限设置正确
2. 证书更新：泛域名证书通常每90天需要续期，确保自动续期流程正常工作
3. 服务重启：证书更新后需要重启或重载Web服务

通过以上方法，可以高效地管理同一服务器上多个二级域名的SSL证书部署，大大简化了证书管理的复杂度。