Docker-Magento 多站点 SSL 证书配置问题解析与解决方案

在 Docker-Magento 开发环境中配置多站点 SSL 证书时，开发者可能会遇到一个典型问题：当尝试为多个域名配置 SSL 证书时，系统错误地将多个域名拼接成一个无效的域名进行处理，而不是为每个域名单独处理证书。本文将深入分析该问题的成因，并提供两种经过验证的解决方案。

问题现象

当执行 bin/setup-ssl <域名1> <域名2> 命令时，系统本应为每个指定域名设置独立的 SSL 证书。然而实际行为却是：

1. 错误地将多个域名拼接成一个字符串（如"domain1 domain2"）
2. 尝试为这个无效的复合域名处理证书
3. 最终导致报错："<域名1> <域名2>" 不是有效的主机名、IP、URL 或邮箱

问题根源分析

该问题源于 SSL 证书处理脚本的设计缺陷：

1. 原始脚本未正确处理多个输入参数
2. 参数传递机制直接将所有参数拼接为单个字符串
3. 证书处理逻辑未考虑多域名场景下的文件命名冲突

解决方案一：回退到稳定版本

对于需要快速解决问题的开发者，最简单的方案是回退到 2023 年的稳定版本脚本。该版本能够正确处理多域名参数，生成包含所有域名的单一证书文件。

优点：

• 实现简单，只需替换脚本文件
• 保持与历史版本的一致性
• 证书管理集中化

解决方案二：改进型多证书方案

对于需要为每个域名设置独立证书的场景，可以采用改进后的脚本方案：

#!/usr/bin/env bash
[ $# -eq 0 ] && echo "请至少指定一个域名" && exit 1

# 生成CA证书（如尚未设置）
if ! bin/docker-compose exec -T -u root app cat /root/.local/share/mkcert/rootCA.pem | grep -q 'BEGIN CERTIFICATE'; then
  bin/setup-ssl-ca
fi

for DOMAIN in "$@"; do
  # 生成基于域名的唯一文件前缀
  DOMAIN_WITHOUT_PORT=${DOMAIN%%:*}
  CERT_PREFIX=${DOMAIN_WITHOUT_PORT//./_}

  # 为指定域名处理证书
  bin/docker-compose exec -T -u root app mkcert \
    -key-file "${CERT_PREFIX}.key" \
    -cert-file "${CERT_PREFIX}.crt" \
    "$DOMAIN_WITHOUT_PORT"

  # 验证并移动证书文件
  if bin/docker-compose exec -T -u root app test -f "${CERT_PREFIX}.key"; then
    echo "移动证书文件至 /etc/nginx/certs/..."
    bin/docker-compose exec -T -u root app chown app:app "${CERT_PREFIX}".*
    bin/docker-compose exec -T -u root app mv "${CERT_PREFIX}".* /etc/nginx/certs/
  fi
done

# 重启服务使配置生效
bin/restart

配套的 Nginx 配置需相应调整，为每个域名设置独立的 server 块，并指向对应的证书文件。

最佳实践建议

1. 证书管理策略：

   • 单一证书方案适合关联性强的子域名
   • 独立证书方案适合完全独立的业务域名

2. Nginx 配置注意事项：

   • 移除可能导致容器启动失败的 ipv6only=on 参数
   • 确保每个 server 块正确引用对应的证书文件
   • 合理设置 MAGE_RUN_CODE 映射关系

3. 维护建议：

   • 定期检查证书有效期
   • 建立证书更新机制
   • 文档化证书与域名的对应关系

总结

Docker-Magento 环境中的多站点 SSL 配置问题反映了开发环境工具链与实际应用场景的适配需求。通过本文提供的两种解决方案，开发者可以根据项目实际需求选择最适合的证书管理方式。无论是采用回退方案保持简单性，还是实施改进方案获得更大灵活性，核心都在于理解证书处理机制与 Web 服务器配置的协同工作原理。