先回答你的核心疑问 #

HTTPS服务器没办法根据HTTP请求头来切换不同的SSL证书——因为SSL/TLS握手流程是在HTTP请求发送之前就完成的。握手阶段客户端还没发送任何HTTP请求头，服务器根本拿不到这些信息来决定返回哪个证书。

不过有个关键例外：SNI（Server Name Indication）。这是TLS协议的扩展功能，客户端在发送Client Hello握手消息时，会把目标主机名（比如example.com）嵌入进去，服务器就能根据这个字段返回对应域名的证书。这也是现在多域名共享一个IP的HTTPS服务的标配方案。

再拆解你遇到的证书不匹配问题 #

你描述的现象（用主机名/IP连接返回不同证书，IP连接始终拿到错误证书），根源几乎可以确定是服务器依赖SNI分发证书，而你直接用IP请求时没有携带正确的主机名到SNI字段里，具体细节：

• 当你用主机名连接时，客户端（浏览器、curl、requests都会自动这么做）会在TLS握手的Client Hello里带上该主机名，服务器识别后返回对应域名的证书；如果这时候也出现不匹配，可能是服务器SNI配置有误，或者你用的主机名不在证书的SAN（Subject Alternative Name）列表里。
• 当你直接用IP连接时，客户端在Client Hello的SNI字段里会填这个IP地址（或者干脆不填，取决于工具实现），服务器找不到对应IP的证书配置，就会返回默认证书——这个默认证书的主机名自然和你用的IP/目标主机名不匹配，所以触发“主机名与证书不匹配”的错误。
• curl和requests表现一致，是因为它们在直接用IP请求时，默认都不会主动替换SNI字段为目标主机名。比如curl用https://192.168.1.1请求时，SNI里传的就是192.168.1.1，而不是你实际要访问的域名。

验证和解决思路 #

如果要确认这个问题，可以用curl的--resolve参数强制把目标域名解析到指定IP，这样curl会在SNI里发送正确的主机名：

curl --resolve your-target-domain.com:443:192.168.1.1 https://your-target-domain.com

如果这时候能拿到正确的证书，就说明确实是SNI的问题。

在Python requests里，要解决这个问题，需要手动指定SSL上下文的SNI主机名，比如通过自定义HTTPAdapter：

import requests
from requests.adapters import HTTPAdapter
from urllib3.poolmanager import PoolManager
import ssl

class SNIAdapter(HTTPAdapter):
    def init_poolmanager(self, connections, maxsize, block=False):
        self.poolmanager = PoolManager(
            num_pools=connections, maxsize=maxsize,
            block=block,
            ssl_version=ssl.PROTOCOL_TLS,
            server_hostname='your-target-domain.com'  # 这里填正确的主机名
        )

session = requests.Session()
session.mount('https://192.168.1.1', SNIAdapter())
response = session.get('https://192.168.1.1')

这样就能让requests在TLS握手时发送正确的SNI主机名，拿到匹配的证书。

内容的提问来源于stack exchange，提问作者tuomas