オリジンサーバーのIPアドレスが複数のドメイン名に関連付けられており、リクエストがHTTPS経由でオリジンサーバーにリダイレクトされる場合は、オリジンサーバーのサーバー名表示 (SNI) 機能を設定する必要があります。 SNIは、要求が送信されるドメイン名を指定します。 オリジンサーバーは、SNIに基づいて対応するSSL証明書を返します。
背景情報
SNIは、トランスポート層セキュリティ (TLS) とセキュアソケットレイヤ (SSL) の拡張であり、これにより、クライアントは、ハンドシェークプロセスの開始時に接続しようとしているホスト名を決定します。 SNIを使用すると、サーバーは同じIPアドレスで複数のSSL証明書を提示できます。 SNIが有効になった後、ポイントオブプレゼンス (POP) がTLSハンドシェイク要求をオリジンサーバーに送信すると、オリジンサーバーは、TLSハンドシェイク要求によって提供されたSNI情報に基づいて、要求されたドメイン名を決定します。 その後、オリジンサーバーは正しいSSL証明書を返します。
オリジンサーバーは、TLSハンドシェーク要求で伝送されるSNI情報を解析できる必要があります。
複数のオリジンサーバーが高速化ドメイン名に設定されている場合は、コンソールでオリジンSNI機能を設定できます。 この場合、すべてのback-to-originリクエストは、SNI値に対応するドメイン名を指します。 異なるオリジンサーバーに異なるSNI値を設定する場合は、チケットを起票してください。 チケットの起票方法の詳細については、「お問い合わせ」をご参照ください。
SNIのしくみを次の図に示します。
オリジンSNIは、次のプロセスに基づいて動作します。
POPはHTTPS経由でオリジンサーバーにリクエストをリダイレクトします。 s example.comのような、要求が向けられるドメイン名は、SNIによって指定されます。
オリジンサーバーがリクエストを受信した後、リクエストされたドメイン名の証明書 (SNIに基づくs example.comなど) で応答します。
POPが証明書を受信した後、POPはオリジンサーバーへの安全な接続を確立します。
手順
ApsaraVideo VODコンソールにログインします。
左側のナビゲーションウィンドウで、[設定管理]> [CDN設定]> [ドメイン名] を選択します。
[ドメイン名] ページで、管理するドメイン名を見つけ、[操作] 列の [設定] をクリックします。
指定したドメイン名の左側のナビゲーションウィンドウで、Back-to-Originをクリックします。
[設定] タブで、[オリジンSNI] セクションの [変更] をクリックします。
[オリジンSNI] ダイアログボックスで、[オリジンSNI] をオンにし、クライアントがリソースを取得するドメイン名を入力します。 例: vod.console.alibabacloud.com。
説明SNIは特定のドメイン名のみをサポートします。 ワイルドカードドメイン名はサポートされていません。
[OK] をクリックします。