SNI（服务器名称指示）问题排查：多域名SSL证书场景

由于SNI（Server  Name  Indication）是SSL证书的一个扩展，它允许客户端在握手过程中指明要连接的主机名，从而使得服务器能够返回正确的证书。在多域名场景中，当多个域名指向同一个IP地址时，服务器需要根据客户端提供的SNI信息来返回对应的证书。

问题排查具体步骤如下：

1.确认服务器是否支持SNI：

较老的服务端可能不支持SNI，例如Windows  Server  2008  R2之前的IIS，或者较老版本的Apache/Nginx。

可以通过查看服务器版本来确认，或者尝试用以下方法测试。

2.检查服务器配置：

确保服务器已经为每个域名配置了相应的证书，并且监听在同一个端口（如443）上。

对于Nginx，检查配置文件中是否有多个server块，每个块监听443端口，并指定不同的server_name和对应的ssl_certificate和ssl_certificate_key。

对于Apache，检查虚拟主机配置，确保每个虚拟主机有正确的ServerName和证书配置。

3.使用工具测试SNI：

使用OpenSSL命令测试，指定不同的服务器名称，查看返回的证书是否匹配。

例如：

openssl  s_client  -connect  example.com:443  -servername  example.com

openssl  s_client  -connect  example.com:443  -servername  another.com

注意：如果服务器不支持SNI，那么无论servername指定什么，返回的证书都是同一个（默认证书）。

4.检查客户端是否支持SNI：

较老的客户端（如Windows  XP上的IE）不支持SNI。如果客户端不支持SNI，则服务器会返回默认证书（通常是第一个配置的证书或默认虚拟主机的证书）。

可以尝试使用不同的客户端（如最新版本的浏览器）测试。

5.检查DNS解析：

确保所有域名都正确解析到服务器的IP地址。

6.检查网络中间件：

如果使用了负载均衡器、CDN或反向代理，确保它们正确传递了SNI信息。有些中间件可能需要额外配置来支持SNI。

7.查看服务器日志：

服务器错误日志可能会提供线索，例如证书加载失败等。

8.使用在线工具：

可以使用在线SSL检查工具，如SSL  Labs的SSL  Server  Test，输入域名进行测试，它会显示服务器返回的证书以及是否支持SNI。

9.检查证书有效性：

确保证书没有过期，且域名匹配。

10.检查协议和加密套件：

确保服务器和客户端都支持相同的TLS版本和加密套件。

举例：Nginx配置多个域名SSL证书

在Nginx中，一个典型的支持多域名的SSL配置如下：

text

server  {

        listen  443  ssl;

        server_name  example.com;

        ssl_certificate  /path/to/example.com.crt;

        ssl_certificate_key  /path/to/example.com.key;

        ...  其他配置  ...

}

server  {

        listen  443  ssl;

        server_name  another.com;

        ssl_certificate  /path/to/another.com.crt;

        ssl_certificate_key  /path/to/another.com.key;

        ...  其他配置  ...

}

注意：如果客户端不支持SNI，那么它将会收到第一个server块（或默认server）的证书。

如果问题仍然存在，请按照上述步骤逐一排查。

SNI（服务器名称指示）问题排查：多域名场景

一、SNI  基础概念

SNI（Server  Name  Indication）  是  TLS  协议的扩展，允许客户端在  TLS  握手时指定要访问的域名，使服务器能够返回正确的证书。

二、常见问题及排查步骤

1.  诊断工具

bash

1.1  使用  OpenSSL  测试

openssl  s_client  -connect  server:443  -servername  example.com

检查返回的证书是否匹配

1.2  使用  curl  验证

curl  -v  --resolve  example.com:443:IP_ADDRESS  https://example.com

1.3  在线检测工具

-  SSL  Labs  (https://www.ssllabs.com/ssltest/)

-  Digicert  SSL  Checker

2.  配置问题排查

2.1  Nginx  配置检查：

nginx

正确的多域名配置示例

server  {

        listen  443  ssl;

        server_name  example.com;

        ssl_certificate  /path/to/example.com.crt;

        ssl_certificate_key  /path/to/example.com.key;

        SNI  自动支持

}

server  {

        listen  443  ssl;

        server_name  another.com;

        ssl_certificate  /path/to/another.com.crt;

        ssl_certificate_key  /path/to/another.com.key;

}

2.2  Apache  配置检查：

apache

<VirtualHost  *:443>

        ServerName  example.com

        SSLCertificateFile  /path/to/example.com.crt

        SSLCertificateKeyFile  /path/to/example.com.key

        SSLProtocol  all  -SSLv3  -TLSv1  -TLSv1.1

</VirtualHost>

<VirtualHost  *:443>

        ServerName  another.com

        SSLCertificateFile  /path/to/another.com.crt

        SSLCertificateKeyFile  /path/to/another.com.key

</VirtualHost>

3.  常见问题及解决方案

问题现象 可能原因 解决方案

返回默认证书 SNI  配置错误 检查虚拟主机配置顺序

证书不匹配 证书绑定错误 验证证书的  Subject  Alternative  Name

旧客户端失败 不支持  SNI 提供兼容方案（见下文）

连接超时 防火墙/代理问题 检查中间设备配置

4.  兼容性处理

对于不支持  SNI  的旧客户端（如  IE6/WinXP、Android  2.x）：

nginx

Nginx  兼容配置

server  {

        listen  443  ssl  default_server;

        ssl_certificate  /path/to/default.crt;

        ssl_certificate_key  /path/to/default.key;

        return  444;    #  关闭连接

}

或者指向维护页面

5.  CDN/代理后端的  SNI  传递

bash

5.1  确认代理传递了  SNI

Nginx  代理配置

location  /  {

        proxy_pass  https://backend;

        proxy_ssl_server_name  on;    #  关键配置

        proxy_ssl_name  $server_name;

}

5.2  HAProxy  配置

backend  https_backend

        server  s1  192.168.1.10:443  ssl  sni  str(example.com)

6.  问题排查清单

markdown

-  [  ]  1.  验证  DNS  解析正确

-  [  ]  2.  检查证书是否包含目标域名

-  [  ]  3.  确认服务器配置了多域名虚拟主机

-  [  ]  4.  测试直接访问  IP  和域名

-  [  ]  5.  检查防火墙和负载均衡器配置

-  [  ]  6.  验证  TLS  版本支持（需要  TLSv1.0+）

-  [  ]  7.  查看服务器错误日志

-  [  ]  8.  测试不同客户端（浏览器/命令行）

7.  调试脚本示例

bash

!/bin/bash

sni_test.sh  -  批量测试多域名  SNI

DOMAINS=("example.com"  "another.com"  "test.com")

SERVER_IP="192.168.1.100"

for  domain  in  "${DOMAINS[@]}";  do

        echo  "测试域名:  $domain"

        echo  "----------------------------------------"

        echo  |  openssl  s_client  -connect  $SERVER_IP:443  \

                -servername  $domain  2>/dev/null  |  \

                openssl  x509  -noout  -subject  -dates

        echo

done

8.  日志分析

bash

Nginx  日志格式添加  SNI  信息

log_format  ssl  '$remote_addr  -  $ssl_server_name  [$time_local]';

Apache  日志

SSLOptions  +StrictRequire

CustomLog  logs/ssl_request_log  "%t  %h  %{SSL_PROTOCOL}x  %{SSL_CIPHER}x  \"%r\"  %b"

三、进阶问题

3.1  通配符证书与  SAN  证书：

通配符证书：*.example.com

SAN  证书：包含多个具体域名

确保证书的  Subject  Alternative  Name  包含所有域名

3.2  自动证书管理（如  Let's  Encrypt）：

bash

Certbot  自动配置  SNI

certbot  --nginx  -d  example.com  -d  another.com

四、监控建议

证书过期监控：

bash

openssl  s_client  -connect  example.com:443  2>/dev/null  |  \

    openssl  x509  -noout  -dates

SNI  支持统计：

分析日志中的  $ssl_server_name

监控不支持  SNI  的客户端比例

关键要点：

SNI  是解决多域名  HTTPS  的核心技术

确保所有中间设备（CDN、负载均衡器）正确传递  SNI

为不支持  SNI  的旧客户端制定降级方案

定期检查SSL证书有效性和配置正确性

如果用户需要进一步帮助时，提供具体的错误信息和配置详情，我们协助解决。