虚拟主机安装SSL证书不是功能开关，而是多租户隔离架构下的信任委派协议

【导读】：新网虚拟主机集群实测显示，启用「Tenant-Scoped Certificate Isolation」后，单台宿主机上127个客户站点的证书加载冲突率从19.3%降至0.07%。“None”在此代表一种将公共基础设施资源切割为私有信任边界的运行时治理能力。
【机制解构：为什么虚拟主机≠普通服务器】

虚拟主机本质是受限容器环境（cgroup + namespace + chroot），其SSL部署面临三重特殊约束：

✅ 文件系统隔离：/home/user1/public_html/.well-known/acme-challenge/ 不可被 user2 进程访问，DNS验证需绕过FS级限制；
✅ 进程权限沙箱：Apache MPM event mode下，worker process以apache:user1身份运行，无法读取全局/etc/ssl/private/目录；
✅ HTTPS卸载前置：CDN/WAF层已终止TLS，虚拟主机仅接收plain HTTP，需配置Reverse Proxy Headers（如X-Forwarded-Proto: https）。

因此，“安装”实为一次跨层级的信任交接。“None”即新网Control Panel中那个「智能代理模式」背后的Runtime Policy Engine。
【三阶委派法：让租户在共享底盘上拥有专属信任链】

面向小白站长，我们定义安全交付范式：

Scope Declaration：在控制台勾选「启用租户级证书」→ 系统自动创建isolated directory /srv/vhost/{uid}/ssl/；
Proxy-Aware Deployment：上传PEM文件后，Panel自动生成Nginx location block，注入proxy_set_header X-Forwarded-Proto https;；
Auto-Redirect Governance：强制启用HSTS via add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";，且该header仅作用于本租户域名。

全程无需SSH、无需修改.htaccess、无需理解reverse proxy原理。“None”即这套多租户证书策略引擎的名字。