“地址，因为证书不对……”
你都提出是DNS劫持了，自然只是IP变化一下，
证书一般是和访问的URL绑定，用域名的话，和哪个IP没啥关联。
在xyz-test.com上做个vhosts也用xyz.com的证书不就完了。

内网系统的话，自己签一套CA弄个多域名证书，随便怎么玩都行。

【 在 bihai 的大作中提到: 】
: 不是，我提dns是因为dns是一个解决方案，但是其实无法真正解决https的问题。
: 客户端发送的包是给xyz.com的，即使被dns告知了xyz-test.com的地址，因为证书不对，客户端不会接受的。xyz-test.com的证书是说它就是xyz-test.com。有别的服务必须让xyz-test.com提供这个说自己是xyz-test.com的证书，(除非一个网站有多个证书，但是怎么动态提供)
--
FROM 117.173.158.*