在Certimate项目中实现泛域名证书自动部署到多个二级域名网站

2025-06-03 18:56:21作者：袁立春Spencer

An open-source and free self-hosted SSL certificates ACME tool, automates the full-cycle of issuance, deployment, renewal, and monitoring visually. 完全开源免费的自托管 SSL 证书 ACME 工具，申请、部署、续期、监控全流程自动化可视化，支持各大主流云厂商。

项目地址：https://gitcode.com/gh_mirrors/ce/certimate

在网站运维管理中，使用泛域名SSL证书（Wildcard SSL Certificate）是一种高效且经济的方式，它可以保护一个主域名及其所有子域名。本文将详细介绍如何在Certimate项目中配置自动部署泛域名证书到同一服务器上的多个二级域名网站。

泛域名证书的基本概念

泛域名SSL证书通常以星号(*)表示，例如*.example.com，它可以保护：

www.example.com
blog.example.com
shop.example.com
以及其他任何子域名

部署方案实现

1. 证书申请配置

在Certimate的域名列表中添加顶级域名（如example.com）时，系统会自动申请*.example.com的泛域名证书。这一步骤确保了所有二级域名都能被同一个证书覆盖。

2. 多网站证书部署

当证书申请成功后，可以通过以下方式实现自动部署到多个网站：

方法一：证书文件复制

获取证书文件路径（通常位于/etc/letsencrypt/live/example.com/）
为每个需要证书的网站创建对应的证书存储目录
使用脚本将证书文件复制到各网站目录

示例脚本：

#!/bin/bash
CERT_DIR="/etc/letsencrypt/live/example.com"
WEBSITES=("www" "blog" "shop" "api")

for site in "${WEBSITES[@]}"
do
    mkdir -p "/path/to/${site}/ssl"
    cp "${CERT_DIR}/fullchain.pem" "/path/to/${site}/ssl/"
    cp "${CERT_DIR}/privkey.pem" "/path/to/${site}/ssl/"
    # 重启Web服务器或重新加载配置
done

方法二：符号链接

更高效的方式是创建符号链接，避免重复存储证书文件：

ln -s /etc/letsencrypt/live/example.com/fullchain.pem /path/to/www/ssl/
ln -s /etc/letsencrypt/live/example.com/privkey.pem /path/to/www/ssl/

3. Web服务器配置

对于Nginx服务器，每个网站的配置文件中需要添加类似的SSL配置：

server {
    listen 443 ssl;
    server_name www.example.com;
    
    ssl_certificate /path/to/www/ssl/fullchain.pem;
    ssl_certificate_key /path/to/www/ssl/privkey.pem;
    
    # 其他配置...
}