複数のドメイン名が同じオリジン IP アドレスにバインドされている場合、POP (Point of Presence) が HTTPS 経由でオリジンサーバーにアクセスする際に、アクセスするドメイン名 (オリジン SNI) を指定する必要があります。オリジンサーバーは、その SNI に基づいて対応するドメイン名の SSL 証明書を返し、オリジンフェッチを成功させます。
背景情報
サーバ名表示 (SNI) は、1 つの IP アドレスでサーバーが複数の SSL 証明書を提示できるようにする、SSL/TLS プロトコルの拡張機能です。これにより、複数のドメイン名をホストする HTTPS サーバーは、クライアントがどのドメインをリクエストしているかを識別できます。SNI を有効にすると、Edge Security Acceleration (ESA) の POP がオリジンサーバーに TLS ハンドシェイクリクエストを送信すると、オリジンサーバーはリクエスト内の SNI 情報を使用してリクエストされたドメイン名を識別し、POP に正しい SSL 証明書を返します。
オリジンサーバーは、TLS ハンドシェイクリクエストに含まれる SNI 情報を解析できる必要があります。
以下の図は、オリジン SNI の仕組みを示しています。
オリジン SNI の仕組みは、以下のステップで説明します。
POP が HTTPS 経由でオリジンサーバーにアクセスする際、SNI でアクセスするドメイン名を指定する必要があります。例: example.com。
オリジンサーバーはリクエストを受信後、SNI で指定されたドメイン名の証明書を返します。例: example.com の証明書。
POP は証明書を受信し、サーバーとの安全な接続を確立します。
デフォルト設定:デフォルトでは、オリジン SNI はオリジン HOST と同じです。オリジン SNI をオリジン HOST とは異なる値に設定するには、以下の手順に従います。
オリジン SNI ルールの作成
関連ドキュメント
ルール関連の機能は、実行優先度、ルールの動作、設定範囲が異なります。詳細については、「ESA ルールの有効化の仕組み」をご参照ください。