回源SNI
如果源站IP綁定了多個域名,則邊緣節(jié)點以HTTPS協(xié)議訪問源站時,必須設(shè)置訪問具體哪個域名(即SNI),源站將根據(jù)配置的SNI名稱返回對應(yīng)域名的SSL證書,以確保正常回源。
背景信息
SNI(Server Name Indication)是對SSL/TLS協(xié)議的擴展,允許服務(wù)器在單個IP地址上承載多個SSL證書,可解決一個HTTPS服務(wù)器擁有多個域名但是無法預知客戶端到底請求的是哪一個域名的服務(wù)的問題。開啟SNI后,在邊緣安全加速 ESA節(jié)點向源站發(fā)起TLS握手請求時,源站會根據(jù)TLS握手請求中攜帶的SNI信息來確認被請求的業(yè)務(wù)域名,返回正確的SSL證書給邊緣安全加速 ESA節(jié)點。
源站的服務(wù)端需要支持解析TLS握手請求中包含的SNI信息。
回源SNI的工作原理如下圖所示。
回源SNI的工作流程如下:
當邊緣安全加速 ESA節(jié)點以HTTPS協(xié)議訪問源站時,需要在SNI中指定訪問的具體域名(如:example.com)。
源站接收到請求后,根據(jù)SNI中記錄的域名,返回對應(yīng)域名的證書(即example.com的證書)。
邊緣安全加速 ESA節(jié)點收到證書,與服務(wù)器端建立安全連接。
默認配置:默認情況下,回源SNI與回源HOST相同。如果需要將回源SNI設(shè)置為與回源HOST不同的值,那么可以按照下面的方法進行配置。
創(chuàng)建回源SNI規(guī)則
登錄ESA控制臺。
在左側(cè)導航欄,單擊站點管理。
在站點管理頁面,單擊目標站點名稱,或?qū)?yīng)站點操作列的詳情。
在左側(cè)導航欄,選擇。
單擊新建規(guī)則,填寫規(guī)則名稱。
在當請求匹配以下規(guī)則時...區(qū)域設(shè)置要匹配的用戶請求特征,單擊回源SNI區(qū)域的配置,配置回源SNI值。
單擊確定。