从“一台服务器跑多个网站”到HTTPS加密：域名、证书与反向代理全攻略

在数字化时代，很多企业或个人会遇到这样的需求：一台服务器上跑多个网站（比如主站、管理系统、工具平台），希望通过不同域名直接访问，还得加上HTTPS加密（地址栏小锁图标），而且不能让用户手动输入端口号（比如:8080）。

这个需求看似复杂，实则是“域名解析+SSL证书+反向代理”的组合操作。本文将以“企业部署主站（www.example.com）和项目管理工具（pm.example.com）”为例，用大白话拆解从域名配置到HTTPS加密的全流程，看完就能上手操作。

一、先搞懂三个核心概念：域名、证书、反向代理

在动手前，我们先给这三个“主角”一个通俗的定义，避免被专业术语绕晕。

1. 域名：互联网上的“门牌号”

你可以把域名想象成“互联网小区的门牌号”：

• 二级域名（比如example.com）是“小区名称”，是整个域名的“根”；

• 三级域名（比如www.example.com、pm.example.com）是“小区里的单元楼”，从属于二级域名；

• 域名解析就是“给单元楼分配具体地址”，让用户输入pm.example.com时，能找到对应的服务器。

举个例子：当你在浏览器输入pm.example.com，域名解析会把这个“单元楼”指向服务器的公网IP（比如123.45.67.89），就像快递员根据门牌号找到具体地址。

2. SSL证书：网站的“身份证”

SSL证书是网站的“数字身份证”，作用有两个：

• 加密数据：用户和网站之间的通信会被加密，防止信息被偷看（比如登录密码）；

• 证明身份：告诉用户“这个网站是真的，不是钓鱼网站”，表现为地址栏的小锁图标。

没有SSL证书的网站，浏览器会提示“不安全”，影响用户信任。

3. 反向代理：服务器的“智能前台”

假设你的服务器上有两个服务：

• 主站在80端口（默认HTTP端口）；

• 项目管理工具在81端口。

如果直接让用户访问123.45.67.89:81，既难记又不专业。这时候就需要“反向代理”这个“智能前台”：

• 当用户访问pm.example.com（默认80/443端口），反向代理会自动把请求转交给服务器内部的81端口；

• 用户看不到端口号，感觉就像直接访问pm.example.com一样。

二、实战第一步：给三级域名“分配门牌号”（域名解析配置）

要让pm.example.com能被访问，首先得在域名解析平台（比如阿里云、腾讯云）给它“分配门牌号”——添加A记录，指向服务器IP。

场景说明

• 二级域名：example.com（已在阿里云购买并实名认证）；

• 目标三级域名：pm.example.com（用于访问服务器81端口的项目管理工具）；

• 服务器：华为云ECS，公网IP为123.45.67.89。

详细步骤（以阿里云为例）

1. 登录域名解析控制台

打开阿里云域名管理平台（dns.console.aliyun.com），找到已购买的example.com，点击“解析设置”，进入解析配置页面。

这里可以看到所有“门牌号分配记录”，比如www.example.com的A记录已经指向服务器IP（这也是主站能访问的原因）。

2. 给三级域名pm.example.com添加A记录

点击“添加记录”，按以下参数填写：

• 记录类型：选择“A”（A记录的作用是“把域名指向IPv4地址”，是最常用的解析类型）；

• 主机记录：填写pm（三级域名的前缀，填完后完整域名就是pm.example.com）；