当前位置：首页 > news >正文

域名证书，泛域名证书，sni

news 2026/4/1 21:06:17

文章目录

前言
一、证书
- 1.全域名证书
- 2.泛域名证书
二、域名证书的使用
- 1、浏览器请求域名证书流程
- - 对全域名证书的请求流程
  - 对泛域名证书的请求流程
  - ssl client-hello携带server name 报文
- 2、浏览器对证书的验证流程
三、域名证书和sni

前言

本文介绍了泛域名证书和全域名证书的区别和使用情况，以及sni的原理。

一、证书

1.全域名证书

域名证书的使用者CN字段和使用者可选名称DNS Name字段没有包含*，该类证书一般是一个证书对应一个网站的ip地址，对应一个或者多个域名(一个证书的DNS Name里面可以包含多个全域名)。
CN字段对应浏览器访问的域名。
在这里插入图片描述
DNS Name字段是对CN字段的补充，DNS Name字段可以包含多个域名，浏览器也可以访问DNS Name里面的域名。

2.泛域名证书

域名证书的使用者CN字段和使用者可选名称DNS Name字段包含*，该类证书可以给多个不同的Ip使用，每个ip又可以对应多个域名。
例如： *.csdn.net 中的 *可以是任意内容，a.csdn.net和b.csdn.net都能返回该证书。
但是a.b.csdn.net就不能匹配 *.csdn.net,他只能匹配 *.b.csdn.net。所以泛域名证书 * 只能包含一级域名。
在这里插入图片描述

在这里插入图片描述

二、域名证书的使用

1、浏览器请求域名证书流程

对全域名证书的请求流程

浏览器将域名封装在ssl client hello报文的扩展项server name中，服务器对域名证书进行匹配，返回域名对应的证书，这就是sni。
在这里插入图片描述

对泛域名证书的请求流程

不同的ip 可以导入同一个泛域名证书，通过DNS域名解析就能访问指定的网站。泛域名证书能够减少证书的签发，某一类服务都可以只用一个泛域名证书。
在这里插入图片描述

ssl client-hello携带server name 报文