****

“一台服务器只能绑定一个HTTPS网站？”这是很多运维小白的误解。实际上，IIS 10.5通过SNI（服务器名称指示）技术可以轻松实现多站点共享同一IP+端口，但各自使用独立SSL证书。本文将用“快递分拣”的比喻带你理解原理，并通过真实攻击案例说明配置不当的风险。

一、为什么需要多SSL证书？——从电商平台说起

假设你的服务器同时运行：

- 官网 `www.example.com`（使用DigiCert证书）

- 支付系统 `pay.example.com`（需要更贵的EV证书）

- 后台管理系统 `admin.example.com`（内部CA签发）

传统方式需要3个IP地址，而SNI技术允许它们在同一个IP的443端口上共存，就像快递员根据“收件人姓名”（域名）分发包裹。

二、关键技术：SNI如何工作？

1. 传统TLS的痛点

客户端在握手时才发送域名信息，导致服务器无法提前知道该返回哪个证书。早期解决方案是：

- 每个站点独立IP（浪费IPv4资源）

- 通配符证书（`*.example.com`不跨主域）

2. SNI的革新

客户端在握手第一步就明文声明目标域名（如下图），服务器据此匹配证书：

```

ClientHello -> ServerName: pay.example.com

*注：由于域名是明文发送，企业内网可能需额外加密措施。*

三、IIS 10.5配置实战（附截图要点）

步骤1：确认环境支持

- Windows Server 2025/2025 + IIS 10.5

- 所有域名已解析到同一IP

步骤2：绑定证书

1. 打开IIS管理器 → 选择站点 → “绑定”

2. 添加HTTPS绑定，主机名填写完整域名（如`pay.example.com`）

3. 关键点：从证书库选择对应域名的证书

*常见错误*：忘记勾选“需要服务器名称指示”（如下图红框处）。

步骤3：验证配置

使用OpenSSL命令测试：

```bash

openssl s_client -connect your_ip:443 -servername pay.example.com -tlsextdebug

```

观察输出中的`Certificate chain`是否匹配目标域名。

四、安全风险与防御案例

案例1：恶意爬虫利用SNI嗅探子域名

某公司未对`dev.test.com`配置证书，攻击者通过SNI遍历发现该域名存在，进而爆破后台入口。

防御措施：

- 对所有解析到服务器的域名配置默认证书或404响应

- 使用WAF过滤异常的SNI请求

案例2：过期的测试证书导致合规失败

某电商因遗忘删除测试站点`staging.example.com`的过期证书，被PCI审计扣分。

自动化建议：

用PowerScript定期检查所有绑定的证书有效期：

```powershell

Get-ChildItem IIS:\SslBindings | Where { $_.Certificate.NotAfter -lt (Get-Date) }

五、高级技巧与替代方案

1. 通配符+SNI组合拳

例如主站用`*.example.com`通配符，支付系统用独立的OV证书平衡成本与安全。

2. 非443端口的取舍

部分旧设备（如Android 4.x）不支持SNI，可临时启用8443端口作为降级方案。

3. 云环境差异

AWS ALB原生支持多证书记录单无需手动配置SNI。

*

掌握IIS多SSL证书配置不仅能节省IP资源，更是现代Web安全的必备技能。记住两个黄金原则：

1. “一个域名对应一张确权证书”避免混用风险；

2. “最小化暴露原则”及时清理无用绑定。

遇到诡异的中断问题？先用浏览器F12的Security标签查看实际加载的证书信息吧！

TAG:iis荣.5可支持多个ssl证书,