记一次使用 Certbot Webroot 模式平滑续期 Nginx 泛域名证书

在为移动端应用配置 Universal Links (通用链接) 或是打通微信 / 支付宝的 OAuth 分享域名（例如 auth.imwind.cc）时，HTTPS 是一道无法绕过的强制性安全门槛。

对于很多刚接触 HTTPS 部署的开发者，通常会顺手使用 Let's Encrypt 官方推荐的 Certbot 的 --nginx 插件，它会自动帮你修改 nginx.conf 来完成配置。

但在真实的生产环境中，我们极度反感这种“黑盒式”的自动修改： 它不但容易把原本结构清晰的反向代理、负载均衡配置文件改得面目全非，而且一旦自动修改的语法与你手写的复杂策略发生冲突，甚至会直接导致 Nginx 宕机。

本文将介绍一种更优雅、更稳健的生产级打法：使用 Webroot 模式，在绝对不侵入你原有 Nginx 业务逻辑的前提下，实现零宕机的自动化证书获取与定时续期。