如何在一个IP上使用多个SSL证书

TLS 连接或SSL握手过程基于证书及其颁发的域名。当客户端访问网站时，客户端会请求数字证书，作为响应的服务器发送服务器证书；客户端然后检查证书的名称和它试图连接的域名。如果两个名称（证书名称和浏览器中键入的名称）相同，则将建立连接。

相反，它会显示连接失败的警告信息。不匹配的连接表示中间人攻击。许多用户绕过此警告以继续连接。为了解决这个问题，SSL证书指向IP地址。使用IP地址的Web服务器可以识别浏览器要连接的网页，然后服务器发送正确的证书。

随着IP地址数量的增加，问题就出现了，因为每个网站都需要唯一的IP地址。从长远来看，这将增加托管成本，并且难以处理多个IP地址。这该怎么办呢？

使用SNI可以解决这个问题。SNI是SSL/TLS协议的扩展。此扩展允许客户端在握手过程中识别连接的主机名。SNI可用于现代 Web 浏览器，不支持SNI的浏览器将具有默认证书并显示警告。

在安全的SSL握手期间，浏览器将处理访问者想要连接的确切域名。因此，服务器非常清楚它必须将哪个正确的证书发回给客户端。在这种情况下，使用单个IP地址的服务器可以为多个域名提供服务，而购买单个证书是不够的。

SNI允许服务器在同一IP地址上使用不同的SSL证书。因此，它为这些网站提供正确的证书，并向客户提供安全的网站。每个证书都与特定的FQDN绑定，在SNI的帮助下，服务器为特定的域名选择正确的证书。