如果您的源站IP绑定了多个域名,且回源协议为HTTPS时,需通过配置回源SNI指明所请求的具体域名,源站根据配置的SNI名称返回对应域名的SSL证书,以确保正常回源。
背景信息
SNI(Server Name Indication)是对SSL/TLS协议的扩展,允许服务器在单个IP地址上承载多个SSL证书,可解决一个HTTPS服务器拥有多个域名但是无法预知客户端到底请求的是哪一个域名的服务问题。开启SNI后,在DCDN节点向源站发起TLS握手请求时,源站会根据TLS握手请求中携带的SNI信息来确认被请求的业务域名,返回正确的SSL证书给CDN节点。
重要
源站的服务端需要支持解析TLS握手请求中包含的SNI信息。
如果加速域名配置了多个源站,通过控制台配置SNI功能,所有源站地址会共用一个回源SNI值,那么回源请求都会指向SNI值对应的域名。如果您希望不同的源站,配置不同的SNI值,您可以提交工单申请。
回源SNI的工作原理如下图所示。
回源SNI的工作流程如下:
当DCDN节点以HTTPS协议访问源站时,需要在SNI中指定访问的具体域名(如:example.com)。
源站接收到请求后,根据SNI中记录的域名,返回对应域名的证书(即example.com的证书)。
DCDN节点收到证书,与服务器端建立安全连接。
操作步骤
登录DCDN控制台。
在左侧导航栏,单击域名管理。
在域名管理页面,单击目标域名对应的配置。
在指定域名的左侧导航栏,单击回源配置。
- 在回源配置页签下找到回源SNI。
- 打开回源SNI开关,输入您希望客户端从哪个域名获取资源的域名名称(例如:dcdn.console.aliyun.com)。说明 回源SNI配置的值只能是精确域名 ,不能是泛域名。
- 单击确定。