配置回源SNI
如果您的源站IP綁定了多個(gè)域名,且回源協(xié)議為HTTPS時(shí),需通過配置回源SNI指明所請(qǐng)求的具體域名,源站根據(jù)配置的SNI名稱返回對(duì)應(yīng)域名的SSL證書,以確保正常回源。
背景信息
SNI(Server Name Indication)是對(duì)SSL/TLS協(xié)議的擴(kuò)展,允許服務(wù)器在單個(gè)IP地址上承載多個(gè)SSL證書,可解決一個(gè)HTTPS服務(wù)器擁有多個(gè)域名但是無法預(yù)知客戶端到底請(qǐng)求的是哪一個(gè)域名的服務(wù)問題。開啟SNI后,在CDN節(jié)點(diǎn)向源站發(fā)起TLS握手請(qǐng)求時(shí),源站會(huì)根據(jù)TLS握手請(qǐng)求中攜帶的SNI信息來確認(rèn)被請(qǐng)求的業(yè)務(wù)域名,返回正確的SSL證書給CDN節(jié)點(diǎn)。
源站的服務(wù)端需要支持解析TLS握手請(qǐng)求中包含的SNI信息。
如果加速域名配置了多個(gè)源站,通過控制臺(tái)配置SNI功能,所有源站地址會(huì)共用一個(gè)回源SNI值,那么回源請(qǐng)求都會(huì)指向SNI值對(duì)應(yīng)的域名。如果您希望不同的源站,配置不同的SNI值,您可以填寫信息申請(qǐng)。
回源SNI的工作原理如下圖所示。
回源SNI的工作流程如下:
當(dāng)CDN節(jié)點(diǎn)以HTTPS協(xié)議訪問源站時(shí),需要在SNI中指定訪問的具體域名(如:example.com)。
源站接收到請(qǐng)求后,根據(jù)SNI中記錄的域名,返回對(duì)應(yīng)域名的證書(即example.com的證書)。
CDN節(jié)點(diǎn)收到證書,與服務(wù)器端建立安全連接。
操作步驟
登錄CDN控制臺(tái)。
在左側(cè)導(dǎo)航欄,單擊域名管理。
在域名管理頁面,找到目標(biāo)域名,單擊操作列的管理。
在指定域名的左側(cè)導(dǎo)航欄,單擊回源配置。
在配置頁簽下找到回源SNI,單擊修改配置。
在回源SNI對(duì)話框,打開回源SNI開關(guān),輸入您希望客戶端從哪個(gè)域名獲取資源(例如:example.com)。
說明回源SNI配置的值只能是精確域名,不能是泛域名。
單擊確定,完成配置。