本ドキュメントでは、back-to-origin の Server Name Indication(SNI)に関連する作業概念とアプリケーションシナリオについて説明します。 本ドキュメントの目的は、お客様には back-to-origin SNI 機能が必要かどうかを判断するのに役立つことです。

説明

SNI とは?

SNI は、ハンドシェイクプロセスの開始時にクライアントが接続しようとしているホスト名を判断するためのトランスポート層セキュリティ(TLS)プロトコルの拡張機能です。 これにより、サーバーは同じ IP アドレスと TCP ポート番号で複数の証明書を提示できるため、同じIPアドレスで提供される複数のセキュア(HTTPS)Web サイト(または TLS を介したその他のサービス)が同じ証明書を使用せずに済みます。

サーバーが単一の IP アドレスを使用して複数のドメインに HTTPS サービスを提供する場合、サーバーにアクセスするためのリクエストに SNI が含まれている必要があります。 SNI がリクエストされたドメインを指定している場合にのみ、サーバーはドメインに関連付けられた証明書を正しく返すことができます。

Back-to-origin SNI をいつ有効にすればいいのですか?

オリジンサーバーが 1 つの IP アドレスを使用して複数ドメインへの HTTPS サービスを提供し、ポート 443 が CDN でオリジンサーバーへのバックトラフィックを受信するように指定されている場合(CDN ノードは HTTPS に従ってオリジンサーバーと通信します)back-to-origin SNI を有効にし、リクエストされたドメインを指定する必要があります。 CDN ノードが HTTPS に従ってオリジンサーバーと通信すると、オリジンサーバーはリクエストされたドメインに関連付けられた証明書を正しく返すことができます。
オリジンが Alibaba Cloud OSS の場合は、back-to-origin SNI を有効にする必要はありません。

作業コンセプト

次の図は、Back-to-origin SNI の動作概念を示しています。
  1. CDN ノードは、HTTPS に従ってオリジンサーバへのアクセスをリクエストします。リクエストされたドメイン名は SNI で指定されています。
  2. リクエストを受信した後、オリジンサーバーはリクエストされたドメインに関連付けられた証明書を CND ノードに送信します。
  3. 証明書を受信した後、CDN ノードはオリジンサーバーとの安全な接続を確立します。

手順

  1. CDN コンソールにログインし、左側のナビゲーションペインでドメイン名を選択します。
  2. ドメイン名ページで、SNI を設定する対象ドメインを選択し、操作列の管理をクリックします。
  3. 表示されたページの左側のナビゲーションペインで Back-to-Origin を選択し、ワークスペースの Back-to-origin 構成 タブをクリックします。 Back-to-origin 構成タブページで、 Back-to-origin SNI エリアの 調整をクリックします。
  4. Back-to-origin SNI ダイアログボックスで、Back-to-origin をオンに設定し、オリジンサーバによって提供されるドメインの名前を入力して確認をクリックします。