當您需要在同一個監聽中將不同網域名稱的HTTPS請求轉寄至不同的後端伺服器組,您可使用CLB的擴充網域名稱功能,通過掛載多個SSL認證,將請求轉寄至不同的後端伺服器組。
基本概念
伺服器名稱指示(Server Name Indication,SNI),是對SSL/TLS協議的擴充,允許在單個IP地址上承載多個SSL認證。當用戶端訪問負載平衡時,預設使用訪問網域名稱配置的認證解密。如果找不到匹配的認證,則使用監聽配置的認證。
使用限制
僅效能保障型CLB執行個體支援SNI。
目前CLB支援如下公開金鑰演算法:
RSA 1024
RSA 2048
RSA 4096
注意事項
添加的擴充網域名稱與選擇伺服器憑證中的網域名稱必須一致。
如果您配置多個泛網域名稱認證,則只有第一個泛網域名稱認證會自動匹配所有合格子網域名稱請求。後續的泛網域名稱認證不會自動匹配,您必須為每個具體的子網域名稱單獨配置擴充網域名稱,並明確指定使用對應泛網域名稱認證。
例如,若您先配置
*.example.com認證,然後配置*.test.com認證,那麼對於abc.example.com的子網域名稱請求會自動匹配,abc.test.com請求預設不會自動匹配,您需要為abc.test.com重新設定擴充網域名稱,並指定使用*.test.com認證。
前提條件
您已建立CLB執行個體,並為該執行個體配置了HTTPS監聽。具體操作,請參見添加HTTPS監聽。
添加擴充網域名稱
在執行個體管理頁面,單擊目標執行個體ID。
在監聽頁簽,找到已建立的HTTPS監聽,在操作列選擇
>擴充網域名稱管理。 在擴充網域名稱管理面板,單擊添加擴充網域名稱。
輸入擴充網域名稱。
合法網域名稱檢測,請參見阿里雲網域名稱偵查工具。
網域名稱轉寄策略支援精確匹配和萬用字元匹配兩種模式:
精確網域名稱:www.aliyun.com
萬用字元網域名稱(泛網域名稱): *.aliyun.com, *.market.aliyun.com
當前端請求同時匹配多條網域名稱策略時,策略的匹配優先順序為:精確匹配>小範圍萬用字元匹配>大範圍萬用字元匹配。
說明下表中“✓”代表匹配,“×”代表不匹配。
模式
請求測試URL
配置的網域名稱轉寄策略
www.aliyun.com
*.aliyun.com
*.market.aliyun.com
精確匹配
www.aliyun.com
✓
×
×
泛網域名稱匹配
market.aliyun.com
×
✓
×
info.market.aliyun.com
×
×
✓
選擇該網域名稱關聯的伺服器憑證。
單擊確定。
擴充網域名稱需要和轉寄策略配合使用才會生效。
可選:執行以下步驟,配置轉寄策略。
在提示頁面,單擊去配置,或者在執行個體管理頁面,單擊目標執行個體ID進入監聽頁簽,找到已建立的HTTPS監聽,在操作列單擊配置轉寄策略。
在配置轉寄策略面板,輸入欄位名並配置URL及轉寄規則,單擊添加轉寄策略。
更多資訊,請參見單CLB執行個體配置多網域名稱HTTPS網站。
說明請保證式轉送策略中配置的網域名稱和您添加的擴充網域名稱一致。
編輯擴充網域名稱
您可以替換已添加的擴充網域名稱使用的認證。
在執行個體管理頁面,單擊執行個體的ID,然後單擊監聽頁簽,找到已建立的HTTPS監聽,在操作列選擇
>擴充網域名稱管理。在擴充網域名稱管理頁面,找到目標擴充網域名稱,在操作列單擊編輯。
在修改擴充網域名稱頁面,選擇新的認證,然後單擊確定。
刪除擴充網域名稱
當擴充網域名稱不需要使用時,可以刪除擴充網域名稱。
在執行個體管理頁面,單擊執行個體的ID。
單擊監聽頁簽,找到已建立的HTTPS監聽,在操作列選擇
>擴充網域名稱管理。在擴充網域名稱管理頁面,找到目標擴充網域名稱,在操作列單擊刪除。
在彈出的刪除對話方塊中,單擊確定。
常見問題
已購買伺服器憑證,但在擴充網域名稱管理中選不到購買的伺服器憑證?
若您購買的伺服器憑證為阿里雲的SSL認證,您需要在傳統型負載平衡CLB控制台的認證管理頁面,選擇阿里雲簽發認證方式部署該認證。
若您購買的伺服器憑證為非阿里雲簽發的認證,您需要在傳統型負載平衡CLB控制台的認證管理頁面,選擇上傳非阿里雲簽發認證方式部署該認證。
相關文檔
多網域名稱網站配置教程,您可參考單CLB執行個體配置多網域名稱HTTPS網站。
如果您想將來自相同網域名稱不同路徑的請求轉寄給不同的後端伺服器組,您可參考通過配置相同網域名稱不同路徑的轉寄策略實現精準流量轉寄。