オリジンサーバーの IP アドレスが複数のドメイン名に関連付けられており、リクエストが HTTPS 経由でオリジンサーバーにリダイレクトされる場合、オリジンサーバーのサーバ名表示 (SNI) 機能を設定する必要があります。SNI は、リクエストの宛先となるドメイン名を指定します。オリジンサーバーは SNI に基づいて対応する SSL 証明書を返します。
背景情報
SNI は TLS/SSL プロトコルの拡張機能であり、クライアントはハンドシェイクプロセスの開始時に接続しようとしているホスト名を決定します。SNI を使用すると、サーバーは同じ IP アドレスで複数の SSL 証明書を提示できます。SNI を有効にすると、POP (point of presence) がオリジンサーバーに TLS ハンドシェイクリクエストを送信するときに、オリジンサーバーは TLS ハンドシェイクリクエストに含まれる SNI 情報に基づいてリクエストされたドメイン名を決定します。その後、オリジンサーバーは正しい SSL 証明書を返します。
オリジンサーバーは、TLS ハンドシェイクリクエストに含まれる SNI 情報を解析できる必要があります。
高速化ドメイン名に複数のオリジンサーバーが設定されている場合、Alibaba Cloud CDN コンソールでオリジン SNI 機能を設定できます。これにより、すべてのオリジンフェッチリクエストが SNI 値に対応するドメイン名を指すようになります。オリジンサーバーごとに異なる SNI 値を指定する場合は、チケットを送信してください。
次の図は、オリジン SNI の仕組みを示しています。
オリジンフェッチの SNI は、次のプロセスに基づいて機能します:
POP は、HTTPS 経由でリクエストをオリジンサーバーにリダイレクトします。リクエストの宛先となるドメイン名 (例: example.com) は SNI によって指定されます。
オリジンサーバーがリクエストを受信すると、SNI に基づいて、リクエストされたドメイン名 (例: example.com) の証明書で応答します。
POP が証明書を受信すると、POP はオリジンサーバーへの安全な接続を確立します。
手順
DCDN コンソールにログインします。
左側のナビゲーションウィンドウで、ドメイン名 をクリックします。
ドメイン名 ページで、管理するドメイン名を見つけ、設定 をクリックします。
ドメイン名の左側のナビゲーションツリーで、オリジンフェッチ をクリックします。
オリジンフェッチ タブで、デフォルト back-to-origin SNI を見つけます。
デフォルト back-to-origin SNI スイッチをオンにし、オリジン SNI のドメイン名 (例:
example.com) を入力します。説明オリジン SNI 値は完全一致ドメイン名である必要があります。ワイルドカードドメイン名はサポートされていません。
OK をクリックします。