核心是使用SAN或通配符证书,共用单个server块并显式列出所有域名;SAN证书需包含全部目标域名,通配符仅支持一级子域且根域须单独加入SAN;证书链必须完整,配置后需nginx -t验证并重载。
在 Nginx 中让多个域名共用同一张 SSL 证书,核心是使用多域名证书(SAN 证书)或通配符证书,而非为每个域名配置独立 server 块和证书。这种方式更轻量、易维护,适合子域统一管理或少量主域共用场景。
共用证书的前提是证书本身支持所有目标域名:
example.com、www.example.com、shop.example.com、api.another-site.net —— 无层级限制,但每个域名需显式声明www.example.com、blog.example.com;不匹配 example.com(根域)或 dev.api.example.com(二级子域),除非额外加入这些到 SANexample.com 和 www.example.com,证书中须同时存在这两个条目,不能仅靠通配符所有共用证书的域名写在同一 server 块中,server_name 列出全部域名,ssl_certificate 和 ssl_certificate_key 各指定一次:
server { listen 443 ssl http2; server_name example.com www.example.com shop.example.com api.another-site.net;<pre class="brush:php;toolbar:false;">ssl_certificate /etc/nginx/ssl/multi-domain.pem; # 含完整链:域名证书 + 中间 CAssl_certificate_key /etc/nginx/ssl/multi-domain.key;# 其他 HTTPS 参数(可复用)ssl_protocols TLSv1.2 TLSv1.3;ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:...;ssl_prefer_server_ciphers off;ssl_session_cache shared:SSL:10m;ssl_session_timeout 10m;location / { root /var/www/example; index index.html;}
}
⚠️ 注意:不要在一个块里重复写多个 ssl_certificate —— Nginx 只加载最后一条,其余无效。
为提升可用性与安全性,建议补充:
server { listen 80; server_name example.com www.example.com shop.example.com api.another-site.net; return 301 https://$host$request_uri;}
openssl x509 -in multi-domain.pem -text -noout | grep -A1 "Subject Alternative Name" 确认所有域名出现在 SAN 字段openssl rsa -in multi-domain.key -check -noout,生产环境不应提示输入密码配置生效后,用以下方式确认实际返回的是预期证书:
openssl s_client -connect your-server-ip:443 -servername example.com -showcerts 2>/dev/null | openssl x509 -noout -subject
nginx -t && nginx -s reload)