那你的关键点在客户端要检查域名和证书的匹配关系嘛，扯dns干嘛。
解决办法要么去掉客户端验证，要么在test上部署ngx用两套证书

【 在 bihai @ [Networking] 的大作中提到: 】
:
: 不是，我提dns是因为dns是一个解决方案，但是其实无法真正解决https的问题。
:
: 客户端发送的包是给xyz.com的，即使被dns告知了xyz-test.com的地址，因为证书不对，客户端不会接受的。xyz-test.com的证书是说它就是xyz-test.com。有别的服务必须让xyz-test.com提供这个说自己是xyz-test.com的证书，(除非一个网站有多个证书，但是怎么动态提供)
:

#发自zSMTH@YAL-AL10
--
FROM 118.113.40.*