问SSL证书在IE 7+中不匹配，在Firefox 3.6+中正常

EN

您的问题是Windows XP (可能还有其他软件)上的Internet Explorer不支持SNI。

我刚刚遇到了同样的问题--基本上Firefox和Chrome都没问题，而且获得了正确的证书，但I浏览器就不行了。然后我查了一下，在维基百科上看到了this，还有其他一些东西：

在Windows Vista或更高版本上支持

服务器名称指示7 Internet Explorer7或更高版本的TLS浏览器。在Windows XP上不起作用，即使是Internet Explorer 8也不起作用。

因此，您的apache/openSSL组合支持SNI，并且可以做到这一点，但Windows XP不能。

我的解决方案是在VirtualHost配置中将主子域放在第一位，次要子域放在第一位。至少，对于为什么会出现这种情况，对客户的解释较少。不过，我不知道这对你是否有效。

火狐支持在同一个端口上运行SSL，443(使用相同的IP)到两个虚拟主机(在Apache中)，但IE7不支持。

http://www.eggheadcafe.com/software/aspnet/36069240/sni-support.aspx

====

http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#vhosts2

为什么不能使用基于名称的虚拟主机来识别不同的SSL虚拟主机？基于名称的虚拟主机是识别不同虚拟主机的一种非常流行的方法。它允许您对许多不同的站点使用相同的IP地址和相同的端口号。当人们转向SSL时，似乎很自然地认为可以使用相同的方法在同一服务器上拥有许多不同的SSL虚拟主机。

得知这是不可能的，这相当令人震惊。

原因是SSL协议是一个单独的层，封装了HTTP协议。因此，SSL会话是一个单独的事务，它发生在HTTP会话开始之前。服务器在IP地址X和端口Y(通常为443)上接收SSL请求。由于SSL请求不包含任何Host:字段，因此服务器无法决定使用哪个SSL虚拟主机。通常，它只使用它找到的第一个匹配指定的端口和IP地址的地址。

当然，您可以使用基于名称的虚拟主机来标识许多非SSL虚拟主机(例如，全部在端口80上)，然后拥有单个SSL虚拟主机(在端口443上)。但是如果这样做，您必须确保将非SSL端口号放在NameVirtualHost指令中，例如

NameVirtualHost 192.168.1.1:80其他解决方法解决方案包括：

对不同的SSL主机使用单独的IP地址。对不同的SSL主机使用不同的端口号。