在网络安全领域，SSL/TLS证书是保护网站数据传输安全的核心工具之一。但对于老旧系统（如Windows Server 2003的IIS6），配置SSL时可能会遇到一些“反直觉”的操作，比如用一个证书绑定两个域名。今天我们就用大白话+实际案例，拆解这个需求的技术实现和注意事项。

一、为什么需要“一个证书绑多域名”？

场景举例：

假设你的公司有两个网站：

- `www.company.com`（主站）

- `shop.company.com`（电商子站）

你买了一个SSL证书，但预算有限不想为每个域名单独购买。此时可以通过以下两种方案实现：

1. 通配符证书（Wildcard Certificate）：比如`*.company.com`，可覆盖所有同级子域名。

2. SAN证书（多域名证书）：一张证书包含多个明确列出的域名（如同时包含`www.company.com`和`shop.company.com`）。

但问题来了：IIS6默认不支持直接绑定多域名到同一个SSL证书！下面我们分步骤解决。

二、IIS6的“特殊操作”：主机头绑定限制

IIS6有一个历史遗留问题：HTTPS站点默认无法使用主机头（Host Header）区分不同网站。这是因为SSL握手发生在HTTP请求之前，服务器需要先通过证书验证身份，而此时的HTTP请求头还未传递。

举个栗子??：

- 如果你在IIS6上为两个HTTPS网站（端口443）绑定同一个IP，并分别设置主机头为`www.company.com`和`shop.company.com`，访问时会报错 “此站点要求使用安全通道”。

三、解决方案：用SAN证书+IP/端口区分

方法1：不同IP绑定同一证书

1. 购买SAN证书：确保证书包含两个域名（如Subject Alternative Name字段列出`www.company.com`和`shop.company.com`）。

2. 分配独立IP：

- 为`www.company.com`分配IP1，绑定443端口。

- 为`shop.company.com`分配IP2，同样绑定443端口。

3. 导入同一证书：在两个站点的SSL配置中选择相同的SAN证书。

方法2：同一IP的不同端口

如果只有一个IP可用：

- `www.company.com`: 443端口（默认HTTPS）

- `shop.company.com`: 444端口（或其他非冲突端口）

用户访问时需手动输入端口号（如`https://shop.company.com:444`），体验较差但成本最低。

四、关键操作步骤（以SAN证书为例）

1. 生成CSR时填写所有域名：

```plaintext

公用名(CN): www.company.com

备用名称(SAN): shop.company.com

```

2. 在IIS6中完成绑定：

- 打开站点属性 → “网站”选项卡 → IP地址选择独立IP或保留“全部未分配”。

- “目录安全性” → “服务器证书” → 导入已签发的SAN证书。

3. 验证配置是否生效：

```bash

openssl s_client -connect www.company.com:443 -servername shop.company.com | grep "subject="

应看到两个域名均被识别。

五、安全隐患与替代建议

虽然上述方法可行，但请注意：

1. IIS6已停止支持：微软早在2025年终止更新，存在未修复的高危漏洞（如CVE-2025-7269）。

2. 浏览器兼容性风险：旧版TLS协议（如SSLv3）可能被现代浏览器拦截。

终极建议升级方案：

- 迁移到新版IIS + SNI技术（Server Name Indication），允许单IP多域名HTTPS绑定。

通过SAN证书+IIS6的变通配置，可以实现一个SSL证书保护多个域名。但长远来看，升级服务器环境才是兼顾安全和用户体验的最佳选择。如果你有更多具体问题，欢迎在评论区讨论！ ??

TAG:iis6 ssl两个域名都用一个证书,两个域名指向同一个ip,一个iis可以配几个ssl,iis绑定多个证书,一个域名可以申请多个ssl证书吗