当多个域名需要共享同一SSL证书时，SAN字段提供了优雅的解决方案。然而，SAN字段的优先级排序问题常常引发配置冲突，导致证书验证失败或混合内容警告。本文将通过实战案例，深入剖析多域名SSL证书配置中的优先级排序问题，并提供系统化的解决方案。

一、多域名SSL证书与SAN字段基础

1. 多域名SSL证书的工作原理

多域名SSL证书（也称为SAN证书或多域证书）允许单个证书保护多个不同的域名，包括主域名及其子域名。与传统的单域名证书或通配符证书相比，多域名证书提供了更大的灵活性，特别适合企业拥有多个独立品牌或服务的场景。

当客户端（如浏览器）连接到使用多域名SSL证书的网站时，TLS握手过程如下：

• 客户端发送ClientHello消息，列出支持的加密套件
• 服务器响应ServerHello，选择双方都支持的加密套件
• 服务器发送包含公钥的数字证书
• 客户端验证证书的有效性，包括检查SAN字段中是否包含请求的主机头

2. SAN字段的结构与优先级概念

SAN字段位于证书的扩展部分，采用X.509标准格式。一个典型的SAN字段可能包含类似以下内容：

1  DNS:example.com, DNS:blog.example.com, DNS:api.example.com

传统观点认为，SAN字段中的条目没有严格的优先级顺序，客户端会检查请求的主机头是否匹配SAN列表中的任何一个条目。然而，在实际部署中，特别是在多站点共享同一证书的情况下，服务器配置和服务器的选择算法可能会引入隐含的优先级机制。

二、SAN字段优先级冲突的典型场景

1. 案例1：主域名与子域名冲突

场景描述：

一家公司拥有主域名company.com和多个子域名blog.company.com、shop.company.com，它们都使用同一张SAN证书。当用户访问blog.company.com时，浏览器显示证书错误，但访问主域名则正常。

问题分析：

检查服务器配置发现，虽然证书确实包含了所有域名，但服务器配置中可能存在以下问题：

• 站点绑定顺序问题：服务器可能按照绑定的顺序优先匹配主域名
• 主机头解析顺序：某些服务器实现可能从左到右检查SAN条目，第一个匹配的条目被优先使用
• 缓存问题：旧的证书或配置可能被缓存

解决方案：

• 确保所有域名在SAN字段中正确列出，格式一致
• 在服务器配置中明确指定主机头检查逻辑
• 清除服务器和客户端缓存

2. 案例2：通配符证书与多域名证书混合使用

场景描述：

一个组织使用通配符证书*.example.com和多域名证书保护api.example.com和shop.example.com。当用户访问new-api.example.com时，证书验证失败。

问题分析：

通配符证书和多域名证书的混合使用可能导致以下问题：

• 证书选择冲突：服务器可能优先选择通配符证书，导致多域名证书中的特定域名不被使用
• 加密套件不匹配：不同证书可能支持不同的加密套件，导致协商失败
• 服务器配置不明确：没有明确指定在什么情况下使用哪个证书

解决方案：

• 评估是否可以统一使用多域名证书或通配符证书
• 如果必须混合使用，在服务器配置中明确优先级规则
• 确保两个证书支持的加密套件有重叠部分

3. 案例3：IIS服务器上的服务器名称指示(SNI)问题

场景描述：

在IIS服务器上配置多个站点使用同一张SAN证书，但只有第一个站点正常，其他站点显示证书错误。

问题分析：

IIS服务器名称指示(SNI)配置不正确是常见原因：

• 未勾选"需要服务器名称指示"选项
• 站点绑定顺序问题
• 证书存储位置不正确

解决方案：

• 确保在IIS绑定设置中勾选"需要服务器名称指示"
• 检查证书是否正确安装在"个人"存储中
• 按照正确的顺序配置站点绑定

三、SAN字段优先级排序的实战解决方案

1. 服务器配置层面的优先级控制

不同服务器软件提供了不同的机制来控制证书选择优先级：

Apache配置示例：

1  <VirtualHost *:443>
2      ServerName main.example.com
3      ServerAlias www.example.com
4      SSLEngine on
5      SSLCertificateFile /path/to/cert.pem
6      SSLCertificateKeyFile /path/to/key.pem
7      SSLCertificateChainFile /path/to/chain.pem
8      # 明确指定优先级
9      <IfModule mod_ssl.c>
10         SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
11         SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
12         SSLHonorCipherOrder on
13     </IfModule>
14 </VirtualHost>

Nginx配置示例：

1  server {
2      listen 443 ssl;
3      server_name main.example.com www.example.com;
4     ssl_certificate /path/to/cert.pem;
5      ssl_certificate_key /path/to/key.pem;
6      # 明确指定优先级
7      ssl_protocols TLSv1.2 TLSv1.3;
8      ssl_prefer_server_ciphers on;
9      ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384';
10 }

2. 证书申请与配置的最佳实践

（1）SAN字段顺序：

• 虽然RFC没有规定SAN条目的顺序重要性，但建议将最常用的域名放在前面
• 使用一致的格式，如全部使用小写或保持原始大小写

（2）证书申请流程：

• 生成CSR时包含所有需要的域名
• 使用权威CA（如Let's Encrypt、DigiCert等）获取证书
• 下载与服务器类型匹配的证书文件

（3）配置验证：

• 使用在线SSL检查工具（如SSL Labs的SSL Server Test）验证配置
• 测试所有配置的域名，确保都能正确验证证书

3. 高级场景：动态优先级控制

对于复杂的动态环境，可以考虑以下高级策略：

（1）基于请求路径的证书选择：

1  map $host$REQUEST_URI $ssl_cert {
2      default /path/to/default-cert.pem;
3      ~^blog.* /path/to/blog-cert.pem;
4      ~^shop.* /path/to/shop-cert.pem;
5  }
6
7  server {
8      listen 443 ssl;
9      ssl_certificate $ssl_cert;
10    # 其他配置
11 }

（2）使用ACME协议实现动态证书管理：

• 使用Let's Encrypt的ACME协议为不同子域自动获取和管理证书
• 通过脚本根据请求动态选择证书

四、预防与故障排除

1. 常见故障排除步骤

（1）检查证书内容：

1  openssl x509 -in cert.pem -text -noout | grep -A 1 "X509v3 Subject Alternative Name"

（2）验证主机头：

• 使用工具如curl指定主机头测试：

1 curl -v --resolve example.com:443:your-server-ip https://example.com

（3）检查服务器日志：

• Apache错误日志通常位于/var/log/apache2/error.log
• Nginx错误日志通常位于/var/log/nginx/error.log

（4）使用SSL测试工具：

• Qualys SSL Labs: https://www.ssllabs.com/ssltest/
• SSL Checker: https://www.ssllabs.com/ssltest/

2. 预防措施

（1）标准化配置流程：

• 建立统一的证书申请和部署流程
• 使用配置管理工具（如Ansible、Chef）确保一致性

（2）定期审计：

• 每季度检查一次证书配置
• 验证所有域名的证书有效性

（3）监控与告警：

• 设置监控检查证书过期时间
• 配置告警在证书即将过期时通知管理员

（4）文档记录：

• 详细记录每个证书保护哪些域名
• 记录服务器配置和优先级规则

多域名SSL证书的SAN字段优先级问题虽然复杂，但通过系统化的配置和测试方法完全可以解决。关键在于理解不同服务器软件的证书选择机制，遵循最佳实践进行配置，并建立完善的测试和监控流程。

Dogssl.cn拥有20年网络安全服务经验，提供构涵盖国际CA机构Sectigo、Digicert、GeoTrust、GlobalSign，以及国内CA机构CFCA、沃通、vTrus、上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务，如您有SSL证书需求，欢迎联系!