修复 SSL 证书主机名不匹配错误

主机名不匹配表示证书未包含客户端请求的确切主机。浏览器和 API 客户端会拒绝连接，以防止中间人攻击。

常见不匹配模式

• 证书包含 www.example.com，但请求的是 example.com。
• 证书为预发布主机签发，却安装在生产环境。
• 通配符本应覆盖 apex（但不覆盖根域名）。

修复检查清单

1. 列出您提供的所有主机名（example.com、www、子域名）。
2. 为每个主机名签发/续期证书，并填写正确的 SAN 条目。
3. 在活跃的 edge/代理节点上安装证书及完整证书链。
4. 验证 HTTPS 重定向，确保流量仅落到已覆盖的主机名。
5. 使用 网站检测工具 和浏览器重新测试。

通配符提醒

*.example.com 覆盖 api.example.com 等子域名，但不覆盖 example.com。若两者都提供服务，请在 SAN 中包含两个名称。

若不匹配间歇出现

• 检查负载均衡池中是否仍有节点使用旧证书。
• 检查 CDN 在各区域的 edge 部署状态。
• 确认自动化未续期一张证书却部署了另一张。

若 SSL 正常但仍出现宕机代码，请继续阅读 500/502/503 指南。