SSL证书是网站安全的“身份证”，而DNS名称（也叫主题备用名称，SAN）就是这张身份证上最重要的信息之一。想象一下，你去银行办业务，工作人员核对你的身份证姓名和本人是否一致——DNS名称的作用就类似于此：它告诉浏览器“这个证书是专门发给哪个网站的”，如果对不上，浏览器就会弹出警告。

本文将用通俗易懂的语言，结合具体场景，详解SSL证书中DNS名称的作用、常见问题及配置技巧。

一、DNS名称是什么？为什么重要？

1. 定义

DNS名称就是SSL证书中声明的域名列表。比如你为 `www.example.com` 申请证书，那这个域名就是证书的“主DNS名称”。如果还支持 `example.com` 或 `shop.example.com`，这些也需要列入证书的 SAN（Subject Alternative Name） 扩展字段中。

2. 核心作用：防止“冒牌”网站

- 场景举例：

假设黑客伪造了一个“某宝”网站（比如 `www.ta0bao.com`），但它的SSL证书里只写了 `ta0bao.com`。当你访问时，浏览器发现网址和证书不匹配，就会提示“不安全”（如下图）。这就是DNS名称的校验在起作用。

- 技术原理：

浏览器会检查当前访问的URL是否在证书的DNS名称列表中。如果没有匹配项，就会触发警告（如NET::ERR_CERT_COMMON_NAME_INVALID）。

二、常见的DNS名称类型与案例

1. 单域名证书

- 适用场景：只保护一个具体域名（如 `blog.example.com`）。

- 问题案例：

用户为 `shop.example.com` 买了单域名证书，但忘记把 `example.com` 也重定向到HTTPS。结果用户直接输入 `example.com` 时，浏览器显示“不安全”（因为证书不包含这个域名）。

2. 通配符证书（Wildcard）

- 写法示例：`*.example.com`

- 覆盖范围：保护所有同级子域（如 `mail.example.com`、`app.example.com`），但不包括主域名 `example.com`！

- 踩坑提醒：

通配符不能跨级！比如 `*.a.example.com` 不能保护 `x.y.a.example.com`。

3. SAN多域名证书

- 典型用途：一个证书保护多个完全不同的域名（如 `example.com` + `example.net`）。

- 企业案例：

某公司有官网（`company.com`）、商城（`shop.company.cn`）和API服务（`api.company.io`），用一张SAN证书即可覆盖所有站点。

三、配置时的4个关键注意事项

1. DNS名称必须完整匹配

- 错误示范：

证书里只有 `example.com`，但网站同时开放了 `www.example.com` → HTTPS访问时会报错。

- 正确做法：申请时同时添加两个DNS名称。

2. IP地址需要特殊处理

某些内网系统会用IP地址（如 `https://192.168.1.1`) ，但普通商业SSL证书不支持IP SAN。需申请专有证书或使用自签名方案。

3. CDN/云服务的兼容性

如果网站用了CDN（如Cloudflare），需确保CDN提供商支持上传自定义SSL证书，否则可能出现“证书不匹配”问题。

4. SAN数量限制

部分免费证书（如Let’s Encrypt）单张最多支持100个SAN。超出需拆分多张证书。

四、如何检查现有证书的DNS名称？

通过浏览器即可快速查看：

1. Chrome中点击地址栏的「锁图标」→「连接是安全的」→「证书有效」。

2. 找到「Subject Alternative Name」字段，这里列出的就是所有受信任的域名。


五、与最佳实践

- 核心原则：“用户访问什么网址，证书记录什么名称”。

- 推荐方案：

- 个人博客/小站 → Let’s Encrypt免费通配符证书记得包含主域和WWW。

- SaaS平台 → SAN证书记录所有客户自定义域名。

- API服务 → DNS名称为避免遗漏建议自动化申请工具监控到期时间！

通过合理配置DNS名称既能保障安全又能避免烦人的浏览器警告。如果你的网站突然出现HTTPS错误不妨先检查这里！

TAG:ssl证书里面的dns名称,ssl证书选择,ssl证书dns验证什么意思,dns ssl证书,ssl证书后缀名,ssl证书域名怎么填