如果您的來源站點IP綁定了多個網域名稱,且回源協議為HTTPS時,需通過配置回源SNI指明所請求的具體網域名稱,來源站點根據配置的SNI名稱返回對應網域名稱的SSL認證,以確保正常回源。
背景資訊
SNI(Server Name Indication)是對SSL/TLS協議的擴充,允許伺服器在單個IP地址上承載多個SSL認證,可解決一個HTTPS伺服器擁有多個網域名稱但是無法預知用戶端到底請求的是哪一個網域名稱的服務問題。開啟SNI後,在CDN節點向來源站點發起TLS握手請求時,來源站點會根據TLS握手請求中攜帶的SNI資訊來確認被請求的業務網域名稱,返回正確的SSL認證給CDN節點。
來源站點的服務端需要支援解析TLS握手請求中包含的SNI資訊。
如果加速網域名稱配置了多個來源站點,通過控制台配置SNI功能,所有來源站點地址會共用一個回源SNI值,那麼回源請求都會指向SNI值對應的網域名稱。如果您希望不同的來源站點,配置不同的SNI值,您可以提交工單申請。
回源SNI的工作原理如下圖所示。
回源SNI的工作流程如下:
當CDN節點以HTTPS協議訪問來源站點時,需要在SNI中指定訪問的具體網域名稱(如:example.com)。
來源站點接收到請求後,根據SNI中記錄的網域名稱,返回對應網域名稱的認證(即example.com的認證)。
CDN節點收到認證,與伺服器端建立安全連線。
操作步驟
登入CDN控制台。
在左側導覽列,單擊域名管理。
在域名管理頁面,找到目標網域名稱,單擊操作列的管理。
在指定網域名稱的左側導覽列,單擊回源配置。
在配置頁簽下找到預設回源SNI,單擊修改配置。
在預設回源SNI對話方塊,開啟回源SNI开关,輸入您希望用戶端從哪個網域名稱擷取資源(例如:example.com)。
說明回源SNI配置的值只能是精確網域名稱,不能是泛網域名稱。
單擊確定,完成配置。