宝塔云waf添加cdn步骤详解适配多域名与子域证书配置指南

1）登录宝塔面板，进入安全或网站模块，找到宝塔云WAF插件并进入管理页面。

2）在WAF管理界面选择“添加站点”或“绑定域名”，填写站点域名（例如：www.example.com），选择对应的后端服务器IP或端口。

3）启用CDN加速选项（若面板提供一键开关），并记录由WAF或CDN提供的CNAME或加速域名。

4）在域名解析服务商处将域名的A记录或CNAME指向WAF/ CDN提供的目标地址，等待解析生效（通常几分钟到数小时）。

5）在切换DNS时保留原有解析以便回滚，确认回源服务器IP已加入WAF白名单以避免请求回环或被误拦截。

1）在WAF面板中逐一新增每个域名（例如：www.example.com、api.example.com、shop.example.org），每条记录均可单独设置规则与证书。

2）针对流量高的域名可以单独开启独立加速策略（静态缓存、回源策略、防盗链等），而低流量域名使用默认策略即可。

3）利用宝塔提供的站点分组或标签功能，将相关域名归类，便于批量下发WAF策略、IP黑白名单与缓存配置。

4）设置合理的缓存规则与回源头部（Host）策略，确保CDN回源时带有正确Host以匹配后端虚拟主机配置。

优点：一次签发可覆盖所有一级子域名，便于管理。缺点：不支持跨二级域名（如example.com与example.cn需单独证书）。

优点：可在同一证书中列出多个不同域名（包括不同顶级域名），适合多个不同站点。缺点：证书体积大、管理需列举所有域名。

1）在证书管理里上传证书文件（CRT）与私钥（KEY），或使用宝塔/Let's Encrypt一键申请并绑定到对应站点。

2）在WAF/CDN面板绑定证书到对应的加速域名，确保CDN回源方式与证书类型匹配（回源为HTTPS需配置回源证书或禁用严格校验）。

若域名为同一二级域名下的多个子域，优先使用泛域名证书；若包含不同顶级域名，使用多域名证书或分别申请证书。

1）证书提示不受信任：检查证书链是否完整（需同时上传中间证书），并确认证书未过期。

2）HTTPS回源错误：查看CDN回源协议设置，若回源为HTTPS需确保后端支持HTTPS并且回源证书被信任，或在CDN设置中关闭严格回源证书校验。

3）内容不更新或缓存旧数据：清理CDN缓存或配置缓存刷新策略，并确认Cache-Control与Expires头部设置是否合理。

使用宝塔面板的访问日志/WAF日志查看被拦截的请求详情，并利用curl或浏览器开发者工具查看SNI、证书链与响应头信息以定位问题。

在出现广泛不可用时，先将DNS指向回源服务器或临时关闭WAF/缓存策略以快速恢复服务，再逐项排查。

1）对不同域名设置不同的WAF规则等级：敏感或面向用户登录的域名使用严格防护，静态资源域名使用较宽松策略以提高缓存命中率。

2）统一使用TLS1.2/1.3，启用现代加密套件；对多个子域可采用泛域名证书减少管理复杂度，但对外部合作域名使用独立证书更安全。

3）合理配置缓存规则、开启GZIP/ Brotli压缩、设置HTTP/2或HTTP/3支持，减少回源请求并降低延迟；4）监控流量峰值并设置流量限制与速率策略防止被DDoS侵扰。