オリジンサーバーの IP アドレスが複数のドメイン名に関連付けられており、リクエストが HTTPS 経由でオリジンサーバーにリダイレクトされる場合は、オリジンサーバーのサーバー名表示(SNI)機能を構成する必要があります。SNI は、リクエストの宛先となるドメイン名を指定します。オリジンサーバーは、SNI に基づいて対応する SSL 証明書を返します。
SNI のしくみ
SNI は TLS/SSL プロトコルの拡張機能であり、クライアントはハンドシェイクプロセスの開始時に接続しようとしているホスト名を決定します。SNI を使用すると、サーバーは同じ IP アドレスで複数の SSL 証明書を提示できます。SNI を有効にすると、配信拠点(POP)がオリジンサーバーに TLS ハンドシェイクリクエストを送信すると、オリジンサーバーは TLS ハンドシェイクリクエストに含まれる SNI 情報に基づいてリクエストされたドメイン名を決定します。次に、オリジンサーバーは正しい SSL 証明書を返します。
オリジンサーバーは、TLS ハンドシェイクリクエストに含まれる SNI 情報を解析できる必要があります。
高速化ドメイン名に複数のオリジンサーバーが構成されている場合は、Alibaba Cloud CDN コンソールでオリジン SNI 機能を構成できます。このようにして、すべてのオリジンフェッチリクエストは、SNI 値に対応するドメイン名を指します。異なるオリジンサーバーに異なる SNI 値を指定する場合は、チケットを送信してください。
次の図は、SNI のしくみを示しています。
オリジンフェッチの SNI は、次のプロセスに基づいて機能します。
POP は、HTTPS 経由でリクエストをオリジンサーバーにリダイレクトします。リクエストの宛先となるドメイン名(例:example.com)は、SNI によって指定されます。
オリジンサーバーはリクエストを受信すると、SNI に基づいて、リクエストされたドメイン名(例:example.com)の証明書で応答します。
POP は証明書を受信すると、オリジンサーバーへの安全な接続を確立します。
手順
Alibaba Cloud CDN コンソールにログオンします。
左側のナビゲーションウィンドウで、ドメイン名 をクリックします。
ドメイン名 ページで、管理するドメイン名を見つけ、管理アクション 列の をクリックします。
ドメイン名の左側のナビゲーションツリーで、Back-to-Origin 設定 をクリックします。
設定 タブで、デフォルト back-to-origin SNI セクションを見つけ、変更 をクリックします。
デフォルト back-to-origin SNI ダイアログボックスで、有効化 をオンにし、クライアントがリソースを取得できるドメイン名(例:cdn.console.aliyun.com)を入力します。
説明SNI は特定のドメイン名のみをサポートします。ワイルドカードドメイン名はサポートされていません。
OK をクリックします。