如果您在 Web 浏览器中查看证书，您应该能够找到certificate subject alternative name证书的值。除了证书中显示的站点之外，这将显示可以使用此证书保护的所有站点的列表common name。您可能会看到某些名称中使用了通配符值，例如 *.hsbc.co.uk 或 *.security.hsbc.co.uk。

例如，如果您查看保护此页面的证书，您会看到 Stack Exchange 对其所有站点都使用一个证书：

火狐：

铬：

我们当前所在的站点https://security.stackexchange.com由通配符 SAN 覆盖*.stackexchange.com。

请记住，为了让这些字段中列出的任何站点使用此证书，该站点将需要与证书中的公钥对应的私钥。

必须满足这些条件，您的浏览器才能在没有警告的情况下与站点建立 SSL/TLS 连接。

一个站点要成功使用任何给定的 X.509 证书（TLS/SSL 使用的证书类型），它必须满足一些特定要求：

• 它必须具有证书的正确私钥。没有这个，其他一切都不重要，否则服务器将无法正确加密通信。
• 签署证书的证书颁发机构必须受到用户浏览器的信任（因为浏览器开发人员/供应商天生信任它，或者因为用户（或设置其系统的人）将浏览器配置为信任它）。没有这个，浏览器将不相信证书本身是安全的。
• 它必须通过与颁发证书的公用名匹配的域名或证书中列出的主题备用名称之一进行访问。没有这个，浏览器可能会信任证书，但不会让它用于该站点。一些浏览器根本不会检查公用名，并且需要主题备用名匹配。
• 证书必须仍然有效。这意味着客户端系统必须将日期和时间视为在证书中列出的颁发日期之后，但在证书中列出的到期日期之前。根据浏览器和站点的不同，也可以对这部分进行其他检查（例如，它可能会检查来自 CA 的证书吊销列表，或通过 OCSP 验证证书）。不满足此要求实际上与不满足第二个要求相同。

任何满足证书所有四个要求的网站都可以使用该证书。如果不满足除第一个要求之外的任何上述要求，某些浏览器可能会警告用户而不是阻止访问该网站，尽管由于 HSTS 成为常态（如果网站要求对于 HSTS，浏览器应阻止所有没有不满足所有四个要求的证书的访问）。

1. 通配符证书是应用于域及其所有子域的数字证书( *.domainname.example.com)
2. 使用多域证书domainname1.example.com，您可以使用一个证书 ( , domainname2.example.com, ...)保护多个完全合格的网站