泛解析SSL证书部署到CDN和云服务器怎么操作？完整配置指南

使用CDN和云服务的网站越来越多，如何将泛解析SSL证书正确部署到CDN和云服务器上，是很多运维人员关心的问题。本文将详细介绍主流CDN/云平台的泛解析证书部署方法。

一、泛解析证书在CDN场景的优势

CDN（内容分发网络）通过分布在各地的节点加速网站访问。配合泛解析SSL证书，有以下优势：

• 统一证书管理：所有子域名共用一张证书，管理方便
• 快速部署：新增子域名无需重新申请证书
• 全链路加密：用户到CDN节点、CDN到源站都走HTTPS
• 成本节约：一张证书覆盖所有子域名CDN加速

二、部署前准备

在部署泛解析证书到CDN前，需要准备：

1. 已签发的泛解析证书文件：包括证书（.crt）、中间证书（.ca-bundle）、私钥（.key）
2. CDN/云平台账号权限：有证书管理和CDN配置权限
3. 已配置的CDN加速域名：确保子域名已添加CDN加速

三、阿里云CDN部署泛解析证书

步骤1：上传证书到SSL证书服务

1. 登录阿里云控制台，进入"SSL证书（应用安全）"服务
2. 点击"上传证书"或"导入证书"
3. 填写证书名称（如"通配符-泛解析"）
4. 选择"上传其他证书"
5. 粘贴证书内容（.crt文件内容，含中间证书）
6. 粘贴私钥内容（.key文件内容）
7. 点击"上传"

步骤2：配置CDN HTTPS

1. 进入"CDN"控制台 → "域名管理"
2. 选择要配置的加速域名（如www.tongpeifu.cn）
3. 点击"HTTPS配置"标签
4. 开启"HTTPS安全加速"
5. 证书来源选择"SSL证书服务"
6. 在证书列表中选择刚才上传的泛解析证书
7. 点击"确定"

步骤3：配置强制跳转（可选）

• 在"HTTPS配置"中开启"HTTP强制跳转HTTPS"
• 选择跳转方式（301或302）
• 保存配置

步骤4：重复配置其他子域名

对所有需要CDN加速的子域名（如mail、api、shop等）重复步骤2-3。因为是同一张泛解析证书，直接选择即可，不需要重复上传。

注意：每个子域名需要单独添加为CDN加速域名。泛解析证书只是让所有子域名共用同一张SSL证书，CDN域名本身还是需要逐个添加。

四、腾讯云CDN部署泛解析证书

步骤1：上传证书到SSL证书管理

1. 登录腾讯云控制台，进入"SSL证书管理"（SSL Certificate Service）
2. 点击"上传证书"
3. 选择"上传自有证书"
4. 填写证书名称
5. 粘贴证书内容（含完整证书链）
6. 粘贴私钥内容
7. 点击"提交"

步骤2：CDN配置HTTPS

1. 进入"内容分发网络CDN"控制台
2. 左侧菜单选择"域名管理"
3. 点击目标域名进入配置
4. 选择"HTTPS配置"标签
5. 打开"HTTPS 加速"开关
6. 证书来源选择"SSL证书管理"
7. 从下拉列表选择上传的泛解析证书
8. 点击"确定"

步骤3：回源方式配置

为确保全链路加密，建议：

• 回源协议：选择"HTTPS"
• 源站也要部署同一张泛解析证书
• 确保回源端口443可用

五、Cloudflare部署泛解析证书

Cloudflare提供免费的通用SSL证书，但如果您想使用自己购买的泛解析证书（如企业级OV证书），也可以上传。

方案一：使用Cloudflare通用证书（免费）

1. 域名接入Cloudflare
2. SSL/TLS → 概述，选择"灵活"或"完全"模式
3. Cloudflare自动提供通配符证书，无需自己申请
4. 适用于个人网站、小型项目

方案二：上传自有泛解析证书

1. 登录Cloudflare，选择域名
2. 进入"SSL/TLS" → "源服务器"
3. 点击"创建证书"或选择上传自定义证书
4. 粘贴证书内容和私钥
5. 选择有效期
6. 保存并启用

注意：Cloudflare的"Edge Certificates"（边缘证书）也支持上传自定义证书，但可能需要Business或Enterprise计划。

六、云服务器直接部署泛解析证书

如果网站直接运行在云服务器（ECS/CVM等）上，不通过CDN，部署方式与普通服务器相同。

阿里云ECS部署（Nginx为例）

1. 通过SSH登录ECS服务器
2. 将证书文件上传到服务器（用scp或FTP）
3. 合并证书链：cat server.crt ca-bundle.crt > combined.crt
4. 编辑Nginx配置文件（/etc/nginx/conf.d/xxx.conf）
5. 配置server块，指定ssl_certificate和ssl_certificate_key
6. nginx -t 测试配置
7. nginx -s reload 重载

华为云云服务器部署

与阿里云类似，都是标准的Linux服务器操作：

• Nginx：配置ssl_certificate和ssl_certificate_key
• Apache：配置SSLCertificateFile等
• IIS：导入PFX证书后绑定网站

七、CDN + 源站全链路HTTPS配置

推荐的全链路HTTPS架构：

用户浏览器 ←HTTPS→ CDN节点 ←HTTPS→ 源站服务器
（泛解析证书）        （泛解析证书）        （同一张泛解析证书）

配置要点：

• CDN边缘证书：部署泛解析证书，用户访问加密
• 回源加密：CDN到源站也走HTTPS，确保数据传输全程加密
• 源站证书：源站服务器也部署同一张泛解析证书
• 证书管理：证书到期时CDN和源站都需要更新

八、泛解析证书在CDN场景的注意事项

1. 证书链完整性

上传证书到CDN时，务必包含完整的证书链（域名证书+中间证书）。缺少中间证书可能导致移动端或部分浏览器报错。

2. 子域名逐个添加

虽然证书是通配符的，但CDN加速域名需要逐个添加。每个子域名需要：

• 在CDN控制台添加加速域名
• 配置CNAME解析
• 选择SSL证书（同一张泛解析证书即可）

3. 泛解析CDN域名解析

DNS解析中，可以使用通配符解析（*.tongpeifu.cn CNAME到CDN），让所有子域名自动走CDN加速。这样新增子域名时：

• CDN端：添加加速域名
• DNS端：无需额外配置（泛解析已覆盖）
• 证书端：无需申请（泛解析证书已覆盖）

4. 证书同步更新

泛解析证书到期前，需要同时更新：

• CDN平台的证书
• 源站服务器的证书
• 其他使用该证书的服务（如负载均衡、WAF等）

建议建立证书管理台账，到期前30天开始更新流程。

5. 私钥安全

泛解析证书私钥泄露影响所有子域名。上传到云平台时：

• 使用官方控制台上传，不要通过第三方工具
• 选择云平台的证书管理服务（如阿里云SSL证书），不要直接粘贴在配置里
• 定期更换私钥

九、常见问题

Q：CDN支持泛解析证书吗？
A：支持。主流CDN（阿里云、腾讯云、Cloudflare等）都支持上传泛解析（通配符）证书。

Q：一张泛解析证书能用于多个CDN加速域名吗？
A：可以。所有同级子域名的CDN加速都可以使用同一张泛解析证书。

Q：CDN泛解析证书和源站证书必须一样吗？
A：不一定。可以CDN用一张证书，源站用另一张。但用同一张证书管理更方便。

Q：免费CDN证书和付费泛解析证书有什么区别？
A：免费CDN证书（如Cloudflare Universal SSL）通常是DV级，不显示企业名称。付费OV/EV证书可展示企业身份，信任度更高。

Q：泛解析证书部署到CDN后，源站还需要证书吗？
A：如果回源用HTTPS，源站也需要证书。如果回源用HTTP（灵活模式），源站可以不需要，但安全性较差，建议全链路HTTPS。

总结

泛解析SSL证书与CDN/云服务是黄金搭档——一张证书保护所有子域名，配合CDN实现全球加速和全链路加密。部署方式并不复杂，按照本文步骤操作即可。

核心要点：

• 上传完整的证书链（域名证书+中间证书）
• 每个子域名单独添加CDN加速，共用同一张证书
• 建议开启回源HTTPS，实现全链路加密
• 证书到期时CDN和源站同步更新

如果您在CDN部署泛解析证书过程中遇到问题，欢迎联系通配符网技术支持，我们有丰富的云平台部署经验，可为您提供专业指导。