家里装了NAS,用 nas.wojia.com 访问;又搭了个博客,走 blog.wojia.com;还开了个监控页面,叫 cam.wojia.com——这些全是你主域名 wojia.com 的子域名。最近升级路由器,发现有些固件(比如OpenWrt、Padavan)支持给子域名单独配SSL证书,但界面里勾不勾“为子域名启用HTTPS”,很多人一愣:不就一个主站配了证书吗?子域名跟着沾光不行?
主域名的证书,真管不了所有子域名
举个实在例子:你用腾讯云申请了一张泛域名证书 *.wojia.com,它确实能覆盖 nas.wojia.com、blog.wojia.com 等所有一级子域名。但如果你只申请了 wojia.com 单域名证书(没带星号),那浏览器访问 nas.wojia.com 时,就会弹红字警告:“您的连接不是私密连接”。因为证书里压根没写这个子域名。
更常见的情况是:你用路由器自带的Let’s Encrypt功能,自动申请了 wojia.com 的证书,但没手动添加子域名到申请列表里。这时候,https://nas.wojia.com 打开就是不安全提示,连网页里的摄像头画面都可能被浏览器直接拦截——不是卡,是被主动拦了。
什么时候必须单独配?看你怎么用
如果你的子域名跑的是内部服务(比如Home Assistant、Pi-hole管理页、群晖DSM登录页),而且只在局域网访问,那HTTPS不是刚需。但只要满足下面任意一条,就得认真对待:
- 子域名对外网开放(比如用DDNS+端口映射把博客挂出去);
- 子域名里有登录框、上传文件、查看隐私数据(如监控录像);
- 用手机在外面连家里的NAS或相册,地址栏显示“不安全”让你心里发毛;
- 某些新版本App(尤其iOS)直接拒绝加载HTTP资源,连图片都加载不出来。
实操怎么加?别被术语吓住
以主流刷机固件为例:
在Padavan后台 → “高级设置” → “HTTPS/SSL” → 勾选“启用HTTPS”后,下方会出现“添加子域名”输入框,填上 nas.wojia.com,点保存,系统会自动向Let’s Encrypt发起新申请;
OpenWrt(LuCI)则进“服务” → “TLS-Proxy” → 点“添加” → 域名填子域名,证书路径选自动生成的对应文件夹即可。
注意一点:如果主域名和子域名证书是分开申请的,得确保路由器的HTTPS代理规则里,每个子域名都指向正确的证书文件,否则容易出现“证书不匹配”错误。可以这样检查:
curl -I https://nas.wojia.comserver 和证书信息是否对得上。顺手提醒两个坑
第一,别把 www.wojia.com 当成默认子域名就忽略它——很多路由器默认只配了根域名,结果你输 https://www.wojia.com 还是报错;
第二,换过DNS服务商(比如从阿里云切到Cloudflare)后,记得重新验证DNS解析记录,否则Let’s Encrypt续期失败,某天早上突然所有子域名HTTPS全挂掉,还以为是宽带出问题了。