首先得戳破核心问题：你遇到的证书报错才是重定向失败的根源。浏览器处理HTTPS请求时，会先完成SSL证书验证这一步——只有证书匹配且有效，才会执行服务器上的重定向规则。现在www.subdomain.example.com用的是*.website.com的证书，完全不匹配，导致SSL握手直接失败，重定向根本没机会触发。而HTTP版的www地址能正常跳转，是因为HTTP不需要证书验证，请求能直接到达服务器触发重定向逻辑。

下面是分步解决的具体方案：

1. 先搞定www.subdomain.example.com的SSL证书 #

你需要为www.subdomain.example.com（建议连同subdomain.example.com一起）申请匹配的SSL证书：

• 如果用免费的Let's Encrypt，可以用certbot工具一键生成多域名证书，命令示例：

  certbot certonly --webroot -w /path/to/your/webroot -d subdomain.example.com -d www.subdomain.example.com
  

  这个命令会同时为两个域名颁发证书，覆盖带www和不带www的场景。
• 若使用付费证书，可申请*.subdomain.example.com的通配符证书，这样所有subdomain.example.com的子域名（包括www前缀的）都能匹配。
• 关键提醒：一定要替换掉当前那个*.website.com的不匹配证书，否则问题永远无法解决。

2. 配置正确的重定向规则 #

证书搞定后，再配置Web服务器的重定向规则，确保HTTPS的www地址能正确跳转。以下是主流服务器的配置示例：

Nginx配置 #

# 处理HTTPS的www子域名，直接重定向到不带www的HTTPS地址
server {
    listen 443 ssl;
    server_name www.subdomain.example.com;

    # 填入刚生成的证书文件路径
    ssl_certificate /etc/letsencrypt/live/subdomain.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/subdomain.example.com/privkey.pem;

    return 301 https://subdomain.example.com$request_uri;
}

# 处理所有HTTP请求，统一重定向到不带www的HTTPS地址
server {
    listen 80;
    server_name subdomain.example.com www.subdomain.example.com;

    return 301 https://subdomain.example.com$request_uri;
}

Apache配置 #

# 处理HTTPS的www子域名重定向
<VirtualHost *:443>
    ServerName www.subdomain.example.com
    SSLEngine on
    # 填入你的证书和私钥路径
    SSLCertificateFile /path/to/your/certificate.crt
    SSLCertificateKeyFile /path/to/your/private.key

    Redirect permanent / https://subdomain.example.com/
</VirtualHost>

# 处理所有HTTP请求，重定向到HTTPS
<VirtualHost *:80>
    ServerName subdomain.example.com
    ServerAlias www.subdomain.example.com
    Redirect permanent / https://subdomain.example.com/
</VirtualHost>

3. 验证配置并生效 #

• 重启你的Web服务器：
  • Nginx：sudo systemctl restart nginx
  • Apache：sudo systemctl restart apache2
• 清除浏览器缓存（避免旧证书残留），然后访问https://www.subdomain.example.com，应该就能正常跳转到https://subdomain.example.com，同时不再出现证书报错。

额外注意点 #

如果你的域名用了CDN服务，还要确保CDN提供商那边也配置了匹配的SSL证书，并且在CDN层面也设置了对应的重定向规则——否则流量在CDN节点就会因为证书不匹配被拦截，到不了你的源服务器。

内容的提问来源于stack exchange，提问作者chbary