如果來源站點IP綁定了多個網域名稱,則邊緣節點以HTTPS協議訪問來源站點時,必須設定訪問具體哪個網域名稱(即SNI),來源站點將根據配置的SNI名稱返回對應網域名稱的SSL認證,以確保正常回源。
背景資訊
SNI(Server Name Indication)是對SSL/TLS協議的擴充,允許伺服器在單個IP地址上承載多個SSL認證,可解決一個HTTPS伺服器擁有多個網域名稱但是無法預知用戶端到底請求的是哪一個網域名稱的服務的問題。開啟SNI後,在邊緣安全加速 ESA節點向來源站點發起TLS握手請求時,來源站點會根據TLS握手請求中攜帶的SNI資訊來確認被請求的業務網域名稱,返回正確的SSL認證給邊緣安全加速 ESA節點。
重要
來源站點的服務端需要支援解析TLS握手請求中包含的SNI資訊。
回源SNI的工作原理如下圖所示。
回源SNI的工作流程如下:
當邊緣安全加速 ESA節點以HTTPS協議訪問來源站點時,需要在SNI中指定訪問的具體網域名稱(如:example.com)。
來源站點接收到請求後,根據SNI中記錄的網域名稱,返回對應網域名稱的認證(即example.com的認證)。
邊緣安全加速 ESA節點收到認證,與伺服器端建立安全連線。
預設配置:預設情況下,回源SNI與回源HOST相同。如果需要將回源SNI設定為與回源HOST不同的值,那麼可以按照下面的方法進行配置。
建立回源SNI規則
相關文檔
規則相關的功能,在生效優先順序、可重新進入性、生效顆粒度這三個特性上存在差異,詳細情況請查看規則相關功能的特性說明。